これautrace マンページのまとめ少し混乱している:
このコマンドは,ターゲット・プログラムの実行前後のすべての監査規則を削除します。安全予防措置として使用する前に auditctl を使用してすべてのルールを削除しない限り、実行されません。
最初の文は、autrace監査ルール自体を削除するように求められます。 2番目の文は、autrace実行する前に監査ルールが存在することを確認することを意味します。彼らは矛盾しています。
他の場所でも同じ混乱があります。CentOS 7でLinux監査システムを使用する方法指摘
autrace を実行すると、すべてのカスタム監査ルールが削除されます。
これは最初の文を確認します。ページでは、autrace監査ルールがロックされていると(不変)失敗することを説明し、2番目の文を説明します。
一方、SUSE:autraceを使用したプロセス分析文はauditctl -D実行前に手動で発行する必要がありますautrace。
2ページ間のもう1つの議論は、結果に関するものですautrace.log。最初のページには次のように記載されています。
標準監査ログエントリと似ています。
2番目の内容は次のとおりです。
標準監査ログエントリと変わりません。
ログ形式は同じですか?
関連質問:ausearch マニュアルページ指摘した:
監査デーモンログを照会できます。
そして、特定のログファイル(記録、インポートなど)または指定されたログファイルをそれぞれ照会するオプションを--input提供します。ただし、デフォルトのロギング場所は指定されていません。--input-logsauditd.confauditdauditd.confLinux監査 – ログファイル/var/log/auditデフォルトの場所が宣言された理由は、/var/log/auditデフォルト値が生成されるためです。auditd.confしかし、そうなると選択は意味がなくなります--input-logs。それでは、デフォルトの監査ログの場所は何であり、どのように決定されますか?