一連のPCI-DSSルールを使用してauditdを実行していますが、いくつかの例外があります。
cat audit.log | grep type | grep AVC
次のような複数の項目を返します。
type=AVC msg=audit(1567154215.586:353): apparmor="STATUS" operation="profile_replace" info="same as current profile, skipping" profile="unconfined" name="snap-update-ns.core" pid=22810 comm="apparmor_parser"
ただし、実行するとausearch -m AVC -if audit.log
アイテムは返されません。何か抜けましたか(または交換されましたか?)
また、sudoルールがありますが、-w /usr/bin/sudo -p x -k priv_esc
rootとしてsudoするたびに、監査ログにそのエントリがありません。
設定に問題がありますか?