Vejo que os serviços auditd e rsyslogd estão em execução (na minha caixa OpenSuse Leap 15). Um rápido google não deu uma boa resposta.
Esses serviços estão fazendo o mesmo trabalho? ou seja, eu poderia me livrar de um deles e configurar o outro para registrar os mesmos eventos?
Ou eles se complementam? Ou seja, um anseia por alguns eventos que outro não.
Ou eles são de alguma forma interdependentes? Ou seja, um não funciona sem o outro?
Talvez alguém conheça um bom artigo explicando as opções de auditoria/coleção de logs do Linux e as diferenças entre elas e como a auditoria do Linux funciona em geral?