Theautrace резюме страницы руководстванемного сбивает с толку:
Эта команда удаляет все правила аудита перед выполнением целевой программы и после ее выполнения. В качестве меры предосторожности она не будет запущена, если все правила не будут удалены с помощью auditctl перед использованием.
В первом предложении говорится, autraceчто удаляет сами правила аудита. Во втором предложении говорится, autraceчто проверяет, существуют ли какие-либо правила аудита перед запуском. Они противоречивы.
Такая же путаница наблюдается и в других местах.Как использовать систему аудита Linux на CentOS 7говорится, что
запуск autrace удалит все пользовательские правила аудита
что подтверждает первое предложение. Страница продолжает объяснять, что autraceне срабатывает, если правила аудита заблокированы (неизменяемы), что может объяснить второе предложение.
С другой стороны,SUSE: Анализ процессов с помощью autraceсостояния необходимо вручную выдать auditctl -Dперед запуском autrace.
Еще один пункт разногласий между двумя страницами касается результата autrace.log: на первой странице говорится следующее:
выглядит похоже на стандартные записи журнала аудита
в то время как во втором говорится следующее:
ничем не отличается от стандартных записей журнала аудита.
Одинаковы ли форматы журналов или нет?
Смежная проблема:ausearch страница руководстваговорится следующее:
может запрашивать журналы демона аудита
и предоставляет --inputи --input-logsопции для запроса определенного файла журнала (исторического, импортированного, любого) или файла журнала, указанного auditd.conf, соответственно. Но auditdи auditd.confне указывают местоположение журнала по умолчанию.Аудит Linux – Файлы журналов /var/log/auditутверждает, что местоположение по умолчанию - это /var/log/auditпотому, что это значение по умолчанию, auditd.confс которым оно создано. Но это сделало бы --input-logsопцию бессмысленной. Так что же такое местоположение журнала аудита по умолчанию и как оно определяется?