1)简介 Linux审计系统创建审计跟踪,这是一种跟踪系统上各种信息的方法.它可以记录大量数据,如事件类型,日期和时间,用户ID,系统调用,进程,使用的文件,SELinux上下文和敏感度级别.它可以跟踪文件是否已被访问,编辑或执行.它甚至可以跟踪文件属性的更改.它能够记录系统调用的使用情况,用户执行的命令,登录尝试失败以及许多其他事件.默认情况下,审计系统仅记录日志中的少数事件,例如登录的用户,使用sudo的用户以及与SELinux相关的消息.它使用审计规则来监视特定事件并创建相关的日志条目.可