Я вижу, что обе службы — Auditd и rsyslogd — запущены (на моем OpenSuse Leap 15). Быстрый поиск в Google не дал хорошего ответа.
Выполняют ли эти службы одну и ту же работу? То есть, могу ли я избавиться от одной из них и настроить другую на регистрацию тех же событий?
Или они дополняют друг друга? То есть один жаждет каких-то событий, а другой нет.
Или они как-то взаимозависимы? То есть одно без другого не работает?
Может быть, кто-то знает хорошую статью, объясняющую параметры аудита/сбора журналов в Linux, различия между ними и то, как в целом работает аудит в Linux?