Auditd (Linux Auditing Daemon)
: نظرة عامة
Auditd هو جزء من Linux Auditing System، وهو المسؤول عن تسجيل الأحداث الأمنية في النظام بطريقة دقيقة ومنظمة.
يساعد في مراقبة الأنشطة الحساسة مثل: الدخول للنظام، تعديل الملفات، تشغيل الأوامر… وكل شي تحبه “الفرق الزرقاء” Blue Team 
:🗂️ فئة التصنيف
الأمن السيبراني / Blue Team
تحليل الحوادث (Incident Response)
إدارة النظام / التحقيق الأمني
:التثبيت
sudo apt update
sudo apt install auditd audispd-plugins
: تفعيل الخدمة
sudo systemctl enable auditd
sudo systemctl start auditd
: المميزات الرئيسية
| الوصف |
| يسجل كل الأحداث المهمة على مستوى النظام |
| يمكنك مراقبة ملفات، أوامر، أو مستخدمين معينين |
| أداة ذهبية للمحققين الأمنيين لفهم ما حدث بعد هجوم أو اختراق |
| يعمل مع أدوات مثل SELinux و AppArmor و SIEM |
| ممكن ربطه بتنبيهات حية في بيئات الإنتاج الحرجة |
| الميزة |
| سجل دقيق |
| مراقبة محددة |
| تحقيق جنائي |
| تكامل واسع |
| تنبيهات حية |
: الاستخدام الأساسي
التأكد من التشغيل
sudo auditctl -s
: إضافة قاعدة لمراقبة ملف محدد
sudo auditctl -w /etc/passwd -p wa -k passwd_changes
: مشاهدة السجلات
sudo ausearch -k passwd_changes
: تلخيص الأحداث
sudo aureport