這autrace 手冊頁摘要有點令人困惑:
此指令會刪除執行目標程式之前和執行之後的所有審核規則。作為安全預防措施,除非在使用前使用auditctl 刪除所有規則,否則它將不會運行。
第一句話說autrace刪除審計規則本身。第二句表示autrace在執行前檢查是否有審核規則。它們是矛盾的。
其他地方也存在著同樣的混亂。如何在CentOS 7上使用Linux稽核系統指出
執行 autrace 將刪除所有自訂審核規則
這證實了第一句話。該頁面繼續解釋autrace如果審核規則被鎖定(不可變)則失敗,這可以解釋第二句話。
另一方面,SUSE:使用 autrace 分析流程聲明必須auditctl -D在運行之前手動發出autrace。
兩頁之間的另一個爭論點涉及結果autrace.log:第一頁指出:
看起來與標準審核日誌條目類似
而第二個則指出:
看起來與標準審核日誌條目沒有任何不同。
日誌格式是否相同?
一個相關問題:ausearch 手冊頁指出:
可以查詢稽核守護程式日誌
並提供--input和--input-logs選項來分別查詢特定日誌檔案(歷史的、匯入的等)或由 指定的日誌檔案auditd.conf。但auditd並auditd.conf沒有指定預設日誌記錄位置。Linux 稽核 – 日誌檔 /var/log/audit聲明預設位置是因為這是創建/var/log/audit預設值的原因。auditd.conf但這會讓這個--input-logs選擇變得毫無意義。那麼預設的審核日誌位置是什麼以及它是如何確定的呢?