WindowsではEventID 1102 "監査ログがクリアされました。"。 Unix / Linuxで同等の監査イベントは何ですか?
サンプルイベントがあり、このイベントを取得するために設定する必要がある監査ポリシーがわかっている場合は、その内容も公開してください。
答え1
いいえ:監査ログは削除できるテキストファイルです。ただし、auditdが最初の起動時に実行されるように設定されている場合、auditdは停止できず、開いているファイル記述子に書き込みを続けます。 auditdが出力ログを監視するように構成されている場合は、削除が記録されます(ただし、情報を表示するにはファイルを復元する必要があります)。
通常、(エンドユーザーシステムでは)auditdは「セキュリティイベント」(ログイン/ログアウト)を記録するように設定されていますが、ファイルの変更を監視するように指示できます。 (例えば)具体的なものは/var/log/audit/auditd.log
ありませんが、よりマニュアルページに記載されているとおりです。
追加資料: