Linux audit framework, sistemde oluşan tanımlı olayların (event) kayıt alınabilmesi için geliştirilmiş bir katmandır.
Bu katmanın amacı sistemde oluşan olayları engelleyebilme olmayıp, sadece olan bitenin kayıt altına alınabilmesi için kernel seviyesinde gereken desteği sağlamaktır.
auditd
Linux audit katmanı tarafından oluşturan olay bilgilerinin kullanıcı kipinde bir yazılım tarafından işlenmesi ve opsiyonel ek kontroller sonrası kalıcı bir dosya/veritabanı üzerine yazılması gerekir. Dolayısıyla kernel içerisinde audit desteği bulunsa dahi, olay bilgileri kullanıcı kipinde işlenip saklanmıyorsa herhangi bir loglama da gerçekleşmeyecektir.