audit_data ファイル

各ワークステーションで auditd を起動すると、/etc/security/audit_data ファイルが作成されます。このファイルにはエントリが 1 つあり、コロンで 2 つのフィールドに区切られています (audit_data(4) のマニュアルページを参照)。最初のフィールドは監査デーモンのプロセス ID、2 番目のフィールドは監査デーモンが現在監査レコードを書き込んでいる監査ファイルのパス名です。次に例を示します。

# cat /etc/security/audit_data116:/etc/security/audit/egret.1/files/
19910320100002.not_terminated.tern