Daemon Linux enregistrant événements de sécurité système.
auditd est le daemon Linux Audit System enregistrant les événements de sécurité système : appels syscalls, accès fichiers, exécution programmes, modifications config, événements SELinux/AppArmor. Composant essentiel pour compliance (HIPAA, PCI DSS, SOX, FedRAMP) et forensics post-incident.
Composants : (1) **kernel audit subsystem** — capture événements ; (2) **auditd** userspace daemon — écrit logs (/var/log/audit/audit.log) ; (3) **audisp** plugins — dispatchent vers SIEM externe (syslog, remote) ; (4) **auditctl** — configure règles ; (5) **ausearch, aureport** — query/report logs ; (6) règles dans /etc/audit/rules.d/.
Types de règles : (1) **Watch** files/directories — `auditctl -w /etc/passwd -p wa -k passwd_changes` ; (2) **System call** rules — `auditctl -a always,exit -F arch=b64 -S unlink -S unlinkat -k file_deletion` ; (3) **Control rules** ; (4) **Filesystem** rules.
Use cases : (1) **Compliance** — log tous accès aux fichiers PCI scope, healthcare records ; (2) **Forensic** — investigate post-incident qui a fait quoi quand ; (3) **Threat hunting** — détecter patterns anormaux (sudden file mass deletion, suspicious binaries executed) ; (4) **Insider threat** detection ; (5) **Change management** — track config changes critical files.
Performance : audit can impact heavily si trop verbose rules — tune carefully. Modern alternative complement : eBPF-based monitoring (Falco, Tracee, Tetragon) — plus flexible, less perf impact pour container workloads. Compétences RHCSA, CKS, Security+.
200+ certifications, 400 000+ questions, examens blancs chronométrés.
Voir le catalogue →