ausearch は AVC と sudo に一致する項目を返しません。

ausearch は AVC と sudo に一致する項目を返しません。

一連のPCI-DSSルールを使用してauditdを実行していますが、いくつかの例外があります。

cat audit.log | grep type | grep AVC

次のような複数の項目を返します。

type=AVC msg=audit(1567154215.586:353): apparmor="STATUS" operation="profile_replace" info="same as current profile, skipping" profile="unconfined" name="snap-update-ns.core" pid=22810 comm="apparmor_parser"

ただし、実行するとausearch -m AVC -if audit.logアイテムは返されません。何か抜けましたか(または交換されましたか?)

また、sudoルールがありますが、-w /usr/bin/sudo -p x -k priv_escrootとしてsudoするたびに、監査ログにそのエントリがありません。

設定に問題がありますか?

関連情報