Учимся понимать события подсистемы аудита Linux / Комментарии / Хабр

Auditd устарел, его слабо поддерживают, он часто не присылает события, особенно на изменение файлов. Его поведение отличается от одного дистрибутива линукса к другому. Использовать auditd на современных линуксах имхо дурной тон. Ему на замену пришел bpf/ebpf. Но все равно это далеко от того, что есть в macos, в виде Endpoint Security framework.