===== Linux Audit =====

Linux 감사 시스템은 시스템 호출을 가로채고 권한이 있는 사용자 공간 애플리케이션의 감사 로그 항목을 직렬화하여 Linux가 공통 기준, PCI-DSS 및 기타 보안 표준의 요구 사항을 준수하도록 설계되었습니다. 이 프레임워크를 사용하면 구성된 이벤트를 디스크에 기록하고 플러그인에 실시간으로 배포할 수 있습니다. 각 감사 이벤트에는 이벤트 날짜 및 시간, 이벤트 유형, 주체 신원, 조치를 취한 대상, 해당되는 경우 조치 결과(성공/실패)가 포함됩니다.

=== 런타임 종속성 ===

  * coreutils
  * initscripts-service(권장)
  * kernel >= 5.0
  * systemd

=== 빌드 타임 종속성 (tar 배포판용) ===

  * gcc (또는 clang)
  * make
  * kernel-headers >= 5.0
  * systemd

=== 추가 빌드 종속성 (github 소스를 사용하는 경우) ===

  * autoconf
  * automake
  * libtool

=== 선택적 의존성 ===

  * libcap-ng-devel
  * krb5-devel (원격 로깅)
  * python3-devel(파이썬 바인딩)
  * swig(파이썬 바인딩)
  * openldap-devel(zos-원격 로깅)
  * golang(golang 바인딩)


=== 지원 아키텍처 ===

  * AARCH64
  * ARM(일부 버전)
  * PPC 및 PPCLE
  * S390 및 S390X
  * **x86_64** 및 i386

----

다음과 같이 패키지 빌드 진행.
<code bash>
./configure --prefix=/usr --disable-static --sysconfdir=/etc \
            --docdir=/usr/share/doc/audit-userspace-4.0.1    \
            ---disable-zos-remote --without-python3          &&
make
</code>

//root// 유저로 패키지 설치

<code bash>
make install
</code>

//root// 유저로 필요한 디렉토리 생성 

<code bash>
mkdir -pv /etc/audit/rules.d &&
mkdir -pv /var/log/audit
mkdir -pv /usr/share/doc/audit-4.0.1/rules
</code>

원격 로깅을 사용 한다면
<code bash>
mkdir -pv /var/spool/audit 
</code>

감사 규칙 예제를 복사합니다.

<code bash>
install -vm644 docs/* /usr/share/doc/audit-4.0.1/rules
</code>

//root// 유저로 systemd service 등록 및 실행

<code bash>
systemctl enable auditd
systemctl start auditd
</code>