audit的目的：

记录核心层的事件，档案的读写，系统的呼叫。权限的状态

属于内核

syslog的目的：

属于应用层，记录的都是应用层的错误信息

audit 有三個操作的工具

audit 可用的三個指令：

=> auditctl - 控制 kernel audit system，能取得狀態，增或刪除rules、設定某個檔案的「檢視」(watch)。

=> ausearch - 用來查詢 audit logs 的工具。

=> aureport - 產生 audit 系統簡報的工具。

4. 設定檔

audit 的設定檔為 /etc/audit/audit.rules，主要分為三種類別：

? Basic audit system parameters

? File and directory watches

? System call audits

audit和syslog之间的渊源