Elautrace resumen de la página de manuales un poco confuso:
Este comando elimina todas las reglas de auditoría antes de ejecutar el programa de destino y después de ejecutarlo. Como medida de seguridad, no se ejecutará a menos que se eliminen todas las reglas con auditctl antes de su uso.
La primera oración dice autraceque elimina las reglas de auditoría. La segunda oración dice autraceque verifica si existe alguna regla de auditoría antes de ejecutarla. Son contradictorios.
La misma confusión se observa en otros lugares.Cómo utilizar el sistema de auditoría de Linux en CentOS 7Establece que
ejecutar autrace eliminará todas las reglas de auditoría personalizadas
lo que confirma la primera frase. La página continúa explicando que autracefalla si las reglas de auditoría están bloqueadas (inmutables), lo que puede explicar la segunda oración.
Por otro lado,SUSE: Análisis de procesos con autraceestados que uno debe emitir manualmente auditctl -Dantes de ejecutar autrace.
Otro punto de discordia entre las dos páginas se refiere al resultado autrace.log: la primera página lo dice:
Tiene un aspecto similar a las entradas del registro de auditoría estándar.
mientras que el segundo lo dice:
no se ve diferente de las entradas del registro de auditoría estándar.
¿Los registros tienen el mismo formato o no?
Un tema relacionado: elausearch página de manuallo dice:
puede consultar los registros del demonio de auditoría
--inputy proporciona --input-logsopciones para consultar un archivo de registro específico (histórico, importado, lo que sea) o el archivo de registro especificado por auditd.conf, respectivamente. Pero auditdy auditd.confno especifican la ubicación de registro predeterminada.Auditoría de Linux: archivos de registro /var/log/auditindica que la ubicación predeterminada es porque es con ella que se crea /var/log/auditel valor predeterminado . auditd.confPero eso haría que la --input-logsopción fuera inútil. Entonces, ¿cuál es la ubicación predeterminada del registro de auditoría y cómo se determina?