audit_data ファイル

auditd は、各マシン上で起動されると、ファイル /etc/security/audit_data を作成します。 このファイルの書式は、1 つのエントリに、コロンで区切られた 2 つのフィールドがあります (audit_data(4) のマニュアルページを参照)。第 1 のフィールドは監査デーモンのプロセス ID で、第 2 のフィールドは、監査デーモンが監査レコードを現在書き込んでいる監査ファイルのパス名です。

# cat /etc/security/audit_data
116:/etc/security/audit/blinken.1/files/19910320100002.not_terminated.lazy