Auditd

detecting-container-escape-attempts 用于在 Docker 和 Kubernetes 中排查、检测并分流容器逃逸信号。可将这份 detecting-container-escape-attempts 指南用于事件初步研判、逃逸向量分析、告警解读，以及基于 Falco、Sysdig、auditd 和容器检查证据的响应流程。

analyzing-persistence-mechanisms-in-linux skill 可用于调查 Linux 机器在被入侵后的持久化迹象，包括 crontab 任务、systemd 单元、LD_PRELOAD 滥用、shell profile 修改以及 SSH authorized_keys 后门。它面向 incident response、threat hunting 和安全审计流程，并结合 auditd 和文件完整性检查使用。

analyzing-linux-system-artifacts 可通过查看认证日志、shell 历史、cron 任务、systemd 服务、SSH 密钥及其他持久化点，帮助排查 Linux 主机是否遭入侵。将这份 analyzing-linux-system-artifacts 指南用于安全审计、事件响应和取证分诊。内容包含实用的安装与使用说明。

analyzing-linux-audit-logs-for-intrusion 是一项面向 Linux 事件响应的 auditd 审查 skill，可帮助你通过 ausearch、aureport 和 auditctl 发现可疑登录、提权、文件篡改以及主机入侵证据。