go-audit - альтернатива демону auditd, который поставляется со многими дистрибутивами.

Проект от Slack, написанный на Go, который предоставляет альтернативный способ взаимодействия с auditd, минуя работу через ausearch или логи напрямую.

Что делает go-audit:
- это демон, который подключается напрямую к audit netlink socket (/dev/audit).
- слушает все события ядра, передаваемые через audit subsystem (например, запуск процессов, доступ к файлам, ошибки и т.д.).
- подключается к ядру Linux через netlink
- парсит эти события в удобную JSON-структуру.
- может логировать их в stdout, файл или удалённый сервер
- фильтрует события по типу и передает их в другие системы (например, через syslog, HTTP или Kafka).

https://github.com/slackhq/go-audit

Подсказал: Alex Kup - @Lifailon

опубликовано в @gitgate

#security #auditd #go