这autrace
手册页摘要有点令人困惑:
该命令删除执行目标程序之前和执行之后的所有审核规则。作为安全预防措施,除非在使用前使用auditctl 删除所有规则,否则它将不会运行。
第一句话说autrace
删除审计规则本身。第二句表示autrace
在运行之前检查是否存在审核规则。它们是矛盾的。
其他地方也存在同样的混乱。如何在CentOS 7上使用Linux审计系统指出
运行 autrace 将删除所有自定义审核规则
这证实了第一句话。该页面继续解释autrace
如果审核规则被锁定(不可变)则失败,这可以解释第二句话。
另一方面,SUSE:使用 autrace 分析进程声明必须auditctl -D
在运行之前手动发出autrace
。
两页之间的另一个争论点涉及结果autrace.log
:第一页指出:
看起来与标准审核日志条目类似
而第二个则指出:
看起来与标准审核日志条目没有任何不同。
日志格式是否相同?
一个相关问题:ausearch
手册页指出:
可以查询审计守护进程日志
并提供--input
和--input-logs
选项来分别查询特定日志文件(历史的、导入的等)或由 指定的日志文件auditd.conf
。但auditd
并auditd.conf
没有指定默认日志记录位置。Linux 审计 – 日志文件 /var/log/audit声明默认位置是因为这是创建/var/log/audit
默认值的原因。auditd.conf
但这会让这个--input-logs
选择变得毫无意义。那么默认的审核日志位置是什么以及它是如何确定的呢?