audit daemon

审核守护进程（auditd调用）是一个开源的，免费的和非交互式的守护进程，一个命令行程序，它提供了必要的用户空间的工具，在基于Linux内核的操作系统创建审核规则。

的软件也可以用于搜索和存储由在Linux内核2.6或更高审计子系统中生成的审核记录。它可以作为您的GNU / Linux发行有限的​​独立审计框架。

也被称为Linux审核框架，审计服务项目最初创建，以提供系统调用审核不踩着的SELinux提供的项目的现有功能。

该程序可以打开并正在寻找在audit_control文件中指定的文件夹关闭审核日志文件。这将需要在它们在该文件中指定并从内核只读取审计数据的顺序的所有文件。然后，将这些数据写入到审计日志文件。

此外，它执行了一个名为audit_warn当相应的审计文件夹填补过去写在audit_control文件中规定的限值脚本。审计守护进程将发送警报到控制台以及audit_warn电子邮件别名。

要安装在使用源代码包的GNU / Linux操作系统的审计服务，你必须首先从它的官方网站上下载（请参阅文章末尾的​​网页链接），保存归档在你的主页目录中，并使用归档管理器工具解压。

在终端仿真器，使用＆lsquo的导航至提取的归档文件的位置;命令（如CD /home/softoware/audit-2.4.1），运行＆lsquo的; ./配置&&让大局;命令配置和编译程序，然后运行＆lsquo的;须藤使安装＆rsquo的;命令宽安装系统

什么是此版本的新：

• 在添加python3的libaudit支持
• 在清理automake的警告
• 添加AuParser_search_add_timestamp_item_ex到Python绑定
• 添加AuParser_get_type_name到Python绑定
• obj_gid的auditctl正确处理（亚历山大Zdyb）
• 请插件配置文件分析了长长的队伍更强大的（＃1235457）
• 请auditctl状态打印失去字段作为无符号数
• 添加解释模式auditctl -s
• 添加python3支持auparse库
• 请--enable-ZOS遥控构建时配置选项（克莱顿肖特韦尔）
• 更新的交叉编译（克莱顿肖特韦尔）
• 添加MAC_CHECK审计事件类型
• 添加libauparse pkgconfig文件（亚历山大Zdyb）

什么在2.4.1版本新：

• 请python3支持更容易
• 添加支持ppc64le（托尼·琼斯）
• 添加一些翻译ioctl系统的A1调用
• 添加命令和虚拟化报告aureport
• 更新aureport配置报告新事件
• 添加帐户修改总结报告aureport
• 添加GRP_MGMT和GRP_CHAUTHTOK事件类型
• 修正aureport账户变更报告
• 添加完整的事件报告aureport
• 添加配置的变化总结报告aureport
• 调整一些sys -log消息级别设置在audispd
• 改善家居解析性能
• 在当前ausearch输出线，使用前面分析的值（刻录Alting）
• 改进搜索和解释群体事件
• 完全解释auparse的proctitle领域
• 修正libaudit和内核特性auditctl支持
• 在通过auditctl添加支持backlog_time_wait设置
• 为3.18内核更新系统调用表
• 忽略的电子邮件验证DNS故障在auditd调用（＃1138674）
• 允许旋转的动作space_left和disk_full在auditd.conf
• aureport
的正确的登录总结报告
• Auditctl系统调用可以用逗号分隔的列表现在
• 在新的子系统和功能更新规则

什么在2.3.2版本新：

• 把RefuseManualStop在右侧systemd部分（＃969345 ）
• 添加旧启动脚本systemd支持
• 添加更多的系统调用参数的解释
• 添加“未设置”关键字UID和GID值auditctl
• 在ausearch，解析OBJ在IPC记录
• 在ausearch，物体进行解析在DAEMON_ROTATE记录
• 的MQ_OPEN和MQ_NOTIFY事件修复演绎
• 在auditd调用，对SIGHUP重新启动调度程序，如果它先前已退出
• 在audispd，当重新配置没有检测到活动的插件退出
• 在audispd，明确的信号面罩libev重新设置，使SIGHUP作品
• 在audispd，跟踪二进制插件，如果二进制文件进行了更新，重新启动
• 在audispd，确保我们将信号发送到正确的进程
• 在auditd调用，任何产卵子进程时明确信号屏蔽
• 在audispd，使内置的插件来SIGHUP响应
• 在auparse，如果O_CREAT传递解释开放的系统调用的模式标志
• 在但是audisp遥控，不作地址查找始终永久性故障
• 在但是audisp遥控，更有效地去除EOE事件
• 在auditd调用，记录的原因，当电子邮件帐户无效
• 在但是audisp遥控，更改默认remote_ending行动，重新连接
• 添加支持Aarch64处理器

什么在2.2.1版本新：

• 在添加更多的解释在auparse的系统调用的参数
• 添加一些解释，以ausearch的系统调用的参数
• 在ausearch /报告auparse，分配额外的空间，节点名称
• 为3.3.0内核更新系统调用表
• 更新libev到4.0.4
• 在减少某些应用程序的大小
• 在auditctl，检查使用情况对EUID，而不是UID

什么在2.1.1版本新：

• 在当前ausearch的训释，输出和QUOT;原样QUOT ;如果没有=发现
• 在远程登录正确的插槽设置

远程登录和init脚本
• 在调整了几个默认设置
• 在Audispd没有标记重启的插件，主动
• 则audisp遥控应该保持一种能力，如果LOCAL_PORT＆LT; 1024
• 在当前audispd重新启动插件，在其首选的格式发送事件
• 在但是audisp遥控，使所有的I / O异步
• 在但是audisp遥控，增加SIGUSR1处理程序来转储内部状态
• 修正autrace使用正确的系统调用的S390和s390x系统
• 添加关机系统调用来远程登录拆解

对于32位系统
• 在正确autrace规则

什么的2.1版本是新的：

• 在更新auditctl手册页的用户过滤器新的领域

在aulast
• 修正崩溃时AUID是国外系统
• 在代码清理
• 添加存储转发模式，audispd，远程（米雷克Trmac）
• 在释放内存的失败创业公司则audisp-前奏

在aureport
• 修复内存泄漏
• 修正解析状态问题libauparse
• 在提高libaudit场编码功能的健壮性
• 在更新功能表
• 在auditd调用，使失败操作的配置检查一致
• 在auditd调用，检查空不被传递到safe_exec
• 在但是audisp遥控，overflow_action没有暂停，如果被选中的行动
• 进行的virt事件更新的解释
• 在提高远程日志警告和错误信息
• 添加解释为网络过滤事件

什么在2.0.6版本新：

• 在ausearch /报告的性能改进
• 同步所有样品的系统调用规则，用行动，列表
• 如果程序名称提供给audit_log_acct_message，逃吧
• 修正手册页audit_encode_nv_string功能（＃647131）
• 如果值为NULL，不段错误（＃647128）
• 在解决简单的事件解析不承担会话ID不能是最后一个（彭海涛）
• 添加支持新的mmap审计事件类型
• 添加能力audispd系统日志插件可供选择的设施local0-7（＃593340）
• 修正autrace使用在i386系统正确的系统调用（彭海涛）
• 在启动和重新配置，检查是否有多余的日志，并断开其链接
• 添加一对夫妇失踪解析器调试信息
• 修正错误输出解决数字地址和更新手册页
• 添加netfilter的事件类型
• 修正拼写错误audit.rules手册页（＃667845）
• 在完善有关一成不变的模式（＃654883）在auditctl警告
• 的2.6.37内核更新系统调用表
• 在ausearch，让搜索AUID -1
• 在加入队列overflow_action到但是audisp-遥控器来控制队列溢出
• 在新的系统调用和更新包样品规则

什么是2.0.5版本，新的：

• 在一对夫妇修复被用于制作32位使用规则一个inode场时系统。
• 在系统调用表的更新是针对最新的内核进行。
• 新事件增加了服务的启动/停止和虚拟化。
• 在auditctl忽略指令的处理是固定的。

什么是2.0.3版本，新的：

• 在许多远程登录的修正做了，包括潜在的如果GSSAPI启用的安全问题。

什么是2.0.1版本，新的：

• 在getloginuid固定的Python绑定
• 的audispd AF_UNIX插件被默认为禁用。
• 在远程登录修正了。
• 在初始化脚本进行了更新。
• 在该名男子网页被更新。