审计跟踪

审计跟踪包含二进制审计文件。此跟踪由 auditd 守护进程创建。一旦使用 bsmconv 命令启用了审计服务，auditd 守护进程便会在系统引导时启动。auditd 守护进程负责收集审计跟踪数据以及写入审计记录。

审计记录以二进制格式存储在专用于审计文件的文件系统中。即使可以实际将审计目录放在不是专用于审计的文件系统中，也不要这样做（唯一可用的目录除外）。唯一可用的目录是指仅当其他适当的目录都不可用时，可以保存审计文件的目录。

还有一种可以使审计目录位于不是专用的审计文件系统上的情况：即在是否进行审计都可以的软件开发环境下。充分利用磁盘空间可能比保存审计跟踪数据更为重要。但是，在注重安全性的环境中，将审计目录放在其他文件系统中是不可接受的。

管理审计文件系统时，还应该考虑以下因素：

• 主机应该至少具有一个本地审计目录。如果主机无法与审计服务器进行通信，则本地目录可以用作最后使用的目录。

• 使用读写 (rw) 选项挂载审计目录。远程挂载审计目录时，还应使用 intr 和 noac 选项。

• 列出审计文件系统所在的审计服务器上的审计文件系统。导出列表应该包含站点上要审计的所有系统。