audit

使用触发器来审计表的DML、DDL操作最近帮客户排查某问题时，因为怀疑应用对某张配置表有变更，所以需要对这张表的所有操作进行审计。原本Oracle对某张表的审计是非常方便的，一条命令就可以实现，也不需要费心自定义审计表。

【安全】audit的一些问题以及需要注意的地方当内核生成审计日志后，会以单播形式发送给用户态的某个进程，因此，某个程序如果想要接受审计日志，需要先调用audit_set_pid，然后使用select+recv接收审计日志。

【安全】audispd调研在Linux中，当某个进程调用audit_set_pid将自己的pid保存到内核的audit模块后，如果有日志生成，kaudit内核线程就会通过netlink通信机制将审计日志发送给audit_pid，因此，只能有一个进程占用audit并接收audit日志，那如果有另一个进程已经占用audit呢？例如，auditd或者其他组件。

【安全】2.6.6版本的audit审计机制分析linux内核从2.6.6版本开始支持audit机制，为了更好的理解audit本身的机制，需要对audit的内核代码进行分析。