그만큼autrace 맨 페이지 요약조금 혼란 스럽습니다.
이 명령은 대상 프로그램을 실행하기 전과 실행한 후에 모든 감사 규칙을 삭제합니다. 안전 예방 조치로 사용하기 전에 auditctl을 사용하여 모든 규칙을 삭제하지 않으면 실행되지 않습니다.
첫 번째 문장은 autrace감사 규칙 자체를 삭제한다고 말합니다. 두 번째 문장은 autrace실행하기 전에 감사 규칙이 있는지 확인한다는 내용입니다. 그들은 모순적입니다.
동일한 혼란이 다른 곳에서도 나타납니다.CentOS 7에서 Linux 감사 시스템을 사용하는 방법다음과 같이 말합니다
autrace를 실행하면 모든 사용자 정의 감사 규칙이 제거됩니다.
첫 번째 문장을 확인하는 것입니다. 페이지에서는 autrace감사 규칙이 잠겨 있으면(불변) 실패한다는 설명이 이어지며, 이는 두 번째 문장을 설명할 수도 있습니다.
반면에,SUSE: autrace를 사용한 프로세스 분석auditctl -D실행하기 전에 수동으로 내보내야 함을 나타냅니다 autrace.
두 페이지 사이의 또 다른 논쟁점은 결과에 관한 것입니다 autrace.log. 첫 번째 페이지에는 다음과 같이 명시되어 있습니다.
표준 감사 로그 항목과 유사해 보입니다.
두 번째는 다음과 같이 말합니다.
표준 감사 로그 항목과 다르지 않습니다.
로그 형식이 동일합니까?
관련 문제:ausearch 매뉴얼 페이지다음과 같이 말합니다.
감사 데몬 로그를 쿼리할 수 있습니다.
특정 로그 파일(기록, 가져온 파일 등) 또는 에서 지정한 로그 파일을 쿼리하는 옵션을 --input각각 제공합니다 . 그러나 및 기본 로깅 위치를 지정하지 않습니다.--input-logsauditd.confauditdauditd.confLinux 감사 – 로그 파일 /var/log/audit기본 위치는 /var/log/audit기본값이 auditd.conf생성되었기 때문입니다. 그러나 그렇게 되면 그 선택은 무의미해질 것입니다 --input-logs. 그렇다면 기본 감사 로그 위치는 무엇이며 어떻게 결정됩니까?