Derautrace Manpage-Zusammenfassungist etwas verwirrend:
Dieser Befehl löscht alle Audit-Regeln vor und nach der Ausführung des Zielprogramms. Aus Sicherheitsgründen wird der Befehl nur ausgeführt, wenn vor der Verwendung alle Regeln mit auditctl gelöscht wurden.
Der erste Satz besagt, autracedass die Audit-Regeln selbst gelöscht werden. Der zweite Satz besagt, dass autracevor der Ausführung geprüft wird, ob Audit-Regeln vorhanden sind. Diese beiden Sätze widersprechen sich.
Die gleiche Verwirrung ist auch anderswo zu beobachten.So verwenden Sie das Linux-Auditing-System unter CentOS 7besagt, dass
Durch Ausführen von Autrace werden alle benutzerdefinierten Überwachungsregeln entfernt
was den ersten Satz bestätigt. Auf der Seite wird weiter erklärt, dass dies autracefehlschlägt, wenn die Prüfregeln gesperrt (unveränderlich) sind, was den zweiten Satz erklären könnte.
Andererseits,SUSE: Prozesse analysieren mit autraceauditctl -DZustände, die vor dem Ausführen manuell ausgegeben werden müssen autrace.
Ein weiterer Streitpunkt zwischen den beiden Seiten betrifft das Ergebnis autrace.log: Auf der ersten Seite heißt es:
sieht ähnlich aus wie die Standard-Audit-Log-Einträge
während der zweite es so ausdrückt:
sieht nicht anders aus als die Standardeinträge des Prüfprotokolls.
Sind die Protokolle gleich formatiert oder nicht?
Ein damit verbundenes Problem: dieausearch manpageheißt es dazu:
kann die Audit-Daemon-Protokolle abfragen
und bietet --inputund --input-logsOptionen zum Abfragen einer bestimmten Protokolldatei (historisch, importiert, was auch immer) bzw. der durch angegebenen Protokolldatei auditd.conf. Aber die auditdund auditd.confgeben nicht den Standardspeicherort für die Protokollierung an.Linux-Audit – Protokolldateien /var/log/auditgibt den Standardspeicherort an, /var/log/auditda dies der Standardwert ist, auditd.confmit dem erstellt wird. Aber das würde die --input-logsOption sinnlos machen. Was ist also der Standardspeicherort des Überwachungsprotokolls und wie wird er bestimmt?