En concreto, en la distribución de Red Hat. Este proceso, cuyo ejecutable se sitúa en /sbin/auditd, recolecta registros de auditoría del sistema generados por el núcleo y los escribe a disco, normalmente (y por defecto), en modo binario. Estos ficheros pueden ser dos o más, tienen un tamaño fijo y se escribe en ellos de forma cíclica. Están localizados en /var/log/audit.d y tienen el nombre bin.N (dónde N es un número).
La única forma de leer estos ficheros binarios es con la utilidad ‘aucat‘; con ella se visualiza el contenido del fichero donde se está escribiendo en el momento actual. La forma de usarlo sería la siguiente:
aucat -f bin.0
La configuración se encuentra en /etc/audit/audit.conf. En éste existe una entrada, etiquetada como notify que especifica qué comando ejecutar cuando se ha llenado uno de los ficheros binarios de log y el proceso auditd comienza (o mejor dicho, va a comenzar) a escribir en el siguiente. En nuestro caso, una parte de ese audit.conf sería la siguiente:
