Яка різниця між Audispd і Auditd?
Демон auditd збирає події з компонента ядра та записує їх у файл журналу. Демон диспетчера audisp передає події іншим програмам для додаткової обробки. 5 жовтня 2022 р.
audispd є мультиплексор подій аудиту. Його має запустити демон аудиту, щоб отримати події. Він приймає події аудиту та розподіляє їх дочірнім програмам, які хочуть аналізувати події в реальному часі. Коли демон аудиту отримує SIGTERM або SIGHUP, він також передає цей сигнал диспетчеру.
Auditd — це компонент простору користувача, який взаємодіє з підсистемою аудиту ядра. І ця підсистема призначена для аудиту. Звичайне журналювання системного журналу/журналу призначене для "загального журналювання", яка також може включати події, пов’язані з безпекою, з різних частин операційної системи.
Визначення: що таке auditd? auditd або Linux Audit Daemon компонент простору користувача системи аудиту Linux, відповідальний за збір і запис записів журналу аудиту на диск. Однак він не несе відповідальності за перегляд журналів, що можна зробити за допомогою утиліт ausearch або aureport.
pauditd є альтернативою демону auditd, який постачається з багатьма дистрибутивами.
audisp-remote є плагін для диспетчера подій аудиту, який виконує віддалене журналювання на сервері сукупного журналювання.