のautrace manページの概要少し混乱します:
このコマンドは、対象プログラムの実行前と実行後にすべての監査ルールを削除します。安全上の予防措置として、使用前にauditctlですべてのルールを削除しない限り、実行されません。
最初の文では、autrace監査ルール自体を削除すると書かれています。2 番目の文では、autrace実行前に監査ルールが存在するかどうかを確認すると書かれています。これらは矛盾しています。
同様の混乱は他の場所でも見られます。CentOS 7 で Linux 監査システムを使用する方法と述べています
autraceを実行すると、すべてのカスタム監査ルールが削除されます。
これは最初の文を裏付けています。このページでは、autrace監査ルールがロックされている (不変である) 場合は失敗すると説明されており、これが 2 番目の文を説明している可能性があります。
一方で、SUSE: autrace によるプロセスの分析auditctl -Dを実行する前に手動で発行する必要があると述べていますautrace。
2 つのページ間のもう 1 つの論点は、結果に関するものですautrace.log。最初のページには次のように記載されています。
標準の監査ログエントリに似ている
2番目は次のように述べています。
標準の監査ログエントリと違いはありません。
ログのフォーマットは同じですか?
関連する問題:ausearch マニュアルページ次のように述べています。
監査デーモンのログを照会できる
および は、それぞれ特定のログ ファイル (履歴、インポート済みなど) または で指定されたログ ファイルを照会するためのオプション--inputとオプションを提供します。ただし、 およびは、デフォルトのログ記録場所を指定しません。--input-logsauditd.confauditdauditd.confLinux 監査 – ログファイル /var/log/auditデフォルトの場所は、/var/log/auditデフォルト値がauditd.conf作成された場所であると記載されています。しかし、そうすると--input-logsオプションが無意味になります。では、監査ログのデフォルトの場所はどこですか? また、どのように決定されるのでしょうか?