Auditd — это встроенная система аудита в Linux, которая записывает кто, что и когда сделал в системе. Если тебе нужно понять, *кто удалил файл*, *кто получил доступ к /etc/shadow* или *когда изменили конфиг* — это как раз его задача. ❓ Как это работает Auditd состоит из нескольких частей: ▶️ auditd (демон) — собирает и пишет логи ▶️ auditctl — добавляет правила (что именно отслеживать) ▶️ ausearch / aureport — помогает анализировать логи 🧠 Что можно отслеживать Auditd умеет фиксировать почти всё:...