Linux 감사 시스템은 시스템 호출을 가로채고 권한이 있는 사용자 공간 애플리케이션의 감사 로그 항목을 직렬화하여 Linux가 공통 기준, PCI-DSS 및 기타 보안 표준의 요구 사항을 준수하도록 설계되었습니다. 이 프레임워크를 사용하면 구성된 이벤트를 디스크에 기록하고 플러그인에 실시간으로 배포할 수 있습니다. 각 감사 이벤트에는 이벤트 날짜 및 시간, 이벤트 유형, 주체 신원, 조치를 취한 대상, 해당되는 경우 조치 결과(성공/실패)가 포함됩니다.

• coreutils
• initscripts-service(권장)
• kernel >= 5.0
• systemd

• gcc (또는 clang)
• make
• kernel-headers >= 5.0
• systemd

• autoconf
• automake
• libtool

• libcap-ng-devel
• krb5-devel (원격 로깅)
• python3-devel(파이썬 바인딩)
• swig(파이썬 바인딩)
• openldap-devel(zos-원격 로깅)
• golang(golang 바인딩)

• AARCH64
• ARM(일부 버전)
• PPC 및 PPCLE
• S390 및 S390X
• x86_64 및 i386

---

다음과 같이 패키지 빌드 진행.

./configure --prefix=/usr --disable-static --sysconfdir=/etc \
            --docdir=/usr/share/doc/audit-userspace-4.0.1    \
            ---disable-zos-remote --without-python3          &&
make

root 유저로 패키지 설치

make install

root 유저로 필요한 디렉토리 생성

mkdir -pv /etc/audit/rules.d &&
mkdir -pv /var/log/audit
mkdir -pv /usr/share/doc/audit-4.0.1/rules

원격 로깅을 사용 한다면

mkdir -pv /var/spool/audit 

감사 규칙 예제를 복사합니다.

install -vm644 docs/* /usr/share/doc/audit-4.0.1/rules

root 유저로 systemd service 등록 및 실행

systemctl enable auditd
systemctl start auditd