auditd は、 audit_control ファイル内で指定されたディレクトリ内の監査ログファイルを、指定された順序で開き、閉じます。
auditd は、監査データをカーネルから読み取り、監査ファイルに書き込みます。
auditd は、監査ディレクトリ内のデータ量が audit_controlファイル内で指定された上限を超えると、 audit_warn スクリプトを実行します。デフォルトでは、このスクリプトは audit_warn の別名とコンソールに警告を送ります。
システムのデフォルト構成では、すべての監査ディレクトリがいっぱいになると、監査レコードを生成するプロセスが中断されます。また、auditd はコンソールと audit_warn の別名にメッセージを書き込みます (autoconfig を使用すると監査方針を再構成できます)。この時点では、システム管理者だけがログインして、監査ファイルをテープに書き込むか、システムから監査ファイルを削除するか、または他のクリーンアップ処理を実行できます。
マシンがマルチユーザモードで起動されるときに監査デーモンが起動されたり、または、監査デーモンが audit -s コマンドにより auditd ファイルを編集後にもう一度読み取るように命令を受けると、auditd は必要な空き容量を判断し、audit_control ファイルからディレクトリのリストを読み取り、それを監査ファイルの作成場所の候補として使用します。
監査デーモンは、このディレクトリのリストへのポインタを最初から管理します。監査デーモンが監査ファイルを作成しなければならなくなるたびに、監査デーモンはそのカレントポインタから始めて、監査ファイルをリスト内の最初の使用可能ディレクトリに入れます。管理者が audit -s コマンドを入力すると、このポインタをリストの先頭にリセットできます。audit -n コマンドを使用して、新しい監査ファイルに切り替えるようにデーモンに命令すると、新しいファイルは現在のファイルと同じディレクトリ内で作成されます。