Auditd 是 Linux 系统中的审计工具，用于监控和记录安全事件。主要配置文件位于 /etc/audit/auditd.conf，审计规则在 /etc/audit/audit.rules。常用工具包括 auditctl（管理规则）、aureport（生成报告）和 ausearch（搜索日志）。审计规则分为控制规则、文件系统规则和系统调用规则。定期监控和更新审计策略，以确保日志的安全性和完整性。