Минимальный аудит критически важных действий выполняется посредством системного журнала. Включение и настройка производится в узле system.syslog. Начиная с версии 2.1.4, в журнале регистрируются:

• Открытие, закрытие и неудачная попытка открытия сессии, с указанием IP-адреса
• Обновление конфигурации
• Применение конфигурации
• Сохранение конфигурации
• Выполнение конфигурации

Для более полного контроля за работой пользователей в системе предусмотрена служба системного аудита, построенная на основе стандартных компонент ОС Linux: демона auditd и утилит для его запуска, конфигурации, просмотра результатов и генерации отчётов.

Настройка собственно демона auditd производится в узле audit.conf в терминах стандартного файла конфигурации auditd.conf. Настройка правил аудита производится в узле audit.rules в терминах файла audit.rules. В узле audit.show можно просмотреть текущую конфигурацию службы аудита (включая настройки по умолчанию), журнал аудита в сыром виде, а также сгенерировать отчёт средствами утилиты aureport.

Подробную информацию о службе системного аудита в ОС Linux см. в man pages по вышеперечисленным утилитам и файлам.

ВНИМАНИЕ! По умолчанию, файл аудита пишется во временную директорию /var на RAM-диске в оперативной памяти устройства. При перезагрузке устройства содержимое этой директории теряется. Чтобы сохранить его (в частности, чтобы злоумышленник не мог скрыть следы своих действий, инициировав перезагрузку устройства), следует перенаправить журнал в другой файл, расположенный на внешнем носителе (USB Flash, SD card) или на HDD (в директорию /etc либо в отдельный раздел), в зависимости от их наличия на данном устройстве. К выбору места для хранения журналов относятся те же соображения, что и для службы syslog.