auditctl -l いくつかのルールのみを表示

auditctl -l いくつかのルールのみを表示

使っています

/etc/audit/rules.d/*.rules

生成するファイル

/etc/audit/audit.rules

その中には120本の行があります。

しかし、私が走ったら

auditctl -l

しかし結果として私は14行だけ得ました。

なぜこれが起こるのですか?

答え1

を実行する必要がありますaugenrules

これは rule.d のルールをチェックし、それを 1 つの有効なファイルにコンパイルする実行可能スクリプトです。

そのため、 rule.d のすべてのファイルが新しい行で終わっていることを確認する必要があります。それ以外の場合は、生成されたファイルに無効なルールが含まれます。

以前のバージョンの auditd を使用している場合は、このスクリプトがない可能性があります。ただし、実際には、最新バージョンの auditd からインポートしてパスのどこかに配置できるスクリプトにすぎません。推奨されませんが、この場合は auditd を最新バージョンにアップグレードする必要があります。

関連情報