参考 [Red Hat 文档](https://docs.redhat.com/en/documentation/red_hat_enterprise_linux/7/html/security_guide/sec-understanding_audit_log_files#sec-Understanding_Audit_Log_Files) 考虑为 auditd log 创建一个解析器 [operator](https://github.com/open-telemetry/opentelemetry-collector-contrib/blob/main/pkg/stanza/docs/operators/README.md#what-is-an-operator),然后提交到上游。 或者更进一步创建一个 auditd receiver,类似 [auditbeat](https://www.elastic.co/beats/auditbeat)。
