以下列表概述了 auditd 守护进程的功能。
auditd 守护进程可打开和关闭 audit_control 文件内指定的目录中的审计文件。这些文件将按顺序打开。
auditd 守护进程可装入一个或多个插件。Sun 提供了两个插件。/lib/security/audit_binfile.so.1 插件可将二进制审计数据写入文件。/lib/security audit_syslog.so.1 插件可将审计记录的文本摘要发送到 syslogd 守护进程。
auditd 守护进程可使用 auditd 插件从内核读取审计数据并输出此数据。
auditd 守护进程可执行 audit_warn 脚本来发出有关配置错误的警告。binfile.so.1 插件可执行 audit_warn 脚本。此脚本在缺省情况下将警告发送到 audit_warn 电子邮件别名以及控制台。syslog.so.1 插件无法执行 audit_warn 脚本。
缺省情况下,当所有的审计目录已满时,生成审计记录的进程便会暂停。此外,auditd 守护进程可将消息写入控制台以及 audit_warn 电子邮件别名。此时,只有系统管理员才可以修复审计服务。管理员可以登录以将审计文件写入脱机介质、从系统中删除审计文件,以及执行其他清除任务。
可以使用 auditconfig 命令重新配置审计策略。
当系统进入多用户模式时,auditd 守护进程便会自动启动。也可以从命令行启动此守护进程。当 auditd 守护进程启动时,它会计算审计文件所需的空闲空间量。
auditd 守护进程使用 audit_control 文件中的审计目录列表作为创建审计文件的可能位置。此守护进程维护指向此目录列表的指针,该指针开始于第一个目录。每次在 auditd 守护进程需要创建审计文件时,都会将文件放入列表内的第一个可用目录中。列表开始于 auditd 守护进程的当前指针处。您可以运行 audit -s 命令将指针复位到列表的开始处。audit -n 命令指示此守护进程切换到新的审计文件。新的文件在当前文件所在的目录中创建。