auditd es una herramienta que pemite registrar llamadas a sistema y cambios en ficheros. Por ejemplo…
- señales de terminación (auditctl -a exit,always -F arch=b64 -S kill)
- cambios en pemisos de fichers (auditctl -w /etc/shadow -p wr -k private-shadow
- ejecución de programas de un usuario concreto (auditctl -a exit,always -F arch=b64 -F uid=1001 -S execve)
Por defecto, el registro se guarda en /var/log/audit/audit.log
El comando ausearch permite buscar en dicho registro.