Unix / Linux「監査ログの削除」イベントに対応するWindowsとは何ですか?

Unix / Linux「監査ログの削除」イベントに対応するWindowsとは何ですか?

WindowsではEventID 1102 "監査ログがクリアされました。"。 Unix / Linuxで同等の監査イベントは何ですか?

サンプルイベントがあり、このイベントを取得するために設定する必要がある監査ポリシーがわかっている場合は、その内容も公開してください。

答え1

いいえ:監査ログは削除できるテキストファイルです。ただし、auditdが最初の起動時に実行されるように設定されている場合、auditdは停止できず、開いているファイル記述子に書き込みを続けます。 auditdが出力ログを監視するように構成されている場合は、削除が記録されます(ただし、情報を表示するにはファイルを復元する必要があります)。

通常、(エンドユーザーシステムでは)auditdは「セキュリティイベント」(ログイン/ログアウト)を記録するように設定されていますが、ファイルの変更を監視するように指示できます。 (例えば)具体的なものは/var/log/audit/auditd.logありませんが、よりマニュアルページに記載されているとおりです。

追加資料:

関連情報