Oautrace resumo da página de manualé um pouco confuso:
Este comando exclui todas as regras de auditoria antes e depois de executar o programa de destino. Como medida de segurança, ele não será executado a menos que todas as regras sejam excluídas com auditctl antes do uso.
A primeira frase diz autraceque exclui as próprias regras de auditoria. A segunda frase diz autraceque verifica se existe alguma regra de auditoria antes da execução. Eles são contraditórios.
A mesma confusão é vista em outros lugares.Como usar o sistema de auditoria Linux no CentOS 7afirma que
executar o autrace removerá todas as regras de auditoria personalizadas
o que confirma a primeira frase. A página continua explicando que autracefalha se as regras de auditoria estiverem bloqueadas (imutáveis), o que pode explicar a segunda frase.
Por outro lado,SUSE: Analisando Processos com Autraceafirma que é necessário emitir manualmente auditctl -Dantes de executar autrace.
Outro ponto de discórdia entre as duas páginas diz respeito ao resultado autrace.log: a primeira página afirma:
é semelhante às entradas de registro de auditoria padrão
enquanto o segundo afirma:
não parece diferente das entradas de log de auditoria padrão.
Os logs estão formatados da mesma forma ou não?
Uma questão relacionada: oausearch página de manualafirma:
pode consultar os logs do daemon de auditoria
e fornece --inputopções --input-logspara consultar um arquivo de log específico (histórico, importado, qualquer que seja) ou o arquivo de log especificado por auditd.conf, respectivamente. Mas auditde auditd.confnão especifica o local de registro padrão.Auditoria Linux – Arquivos de log /var/log/auditafirma que o local padrão é /var/log/auditporque esse é o valor padrão auditd.confcom o qual é criado. Mas isso tornaria a --input-logsopção inútil. Então, qual é o local padrão do log de auditoria e como ele é determinado?