This is an old revision of the document!
http://www.freebsd.org/doc/ru/books/handbook/audit.html
Сценарий: отслеживаем неудачные попытки открыть файл на чтения для процессов пользователя nobody
По умолчанию настроена на протоколирование подключений под учетной записью root
# cat /etc/rc.conf
... auditd_enable="YES"
# /etc/rc.d/auditd start
# cat /etc/security/audit_control
... naflags:lo,aa,-fr ...
# cat /etc/security/audit_user
... nobody:-fr:no
# /etc/rc.d/auditd restart
# fetch -o - http://server.corpX.un/../../passwd # fetch -o - http://server.corpX.un/../../etc/passwd
# ls -l /var/audit/ # praudit /var/audit/current # praudit /var/audit/current | grep -B 1 -A 1 nobody | less