我问自己为什么当我搜索 SYSTEM_BOOT 或 SYSTEM_SHUTDOWN 时找不到匹配项。
ausearch -m SYSTEM_BOOT
ausearch -m SYSTEM_SHUTDOWN
为了确保事件在启动过程中不会丢失,我添加了内核参数“audit=1audit_backlog_limit=320”。这至少应该对 SYSTEM_BOOT 产生影响。但事实并非如此。可能是什么原因?我必须应用特定的规则吗?
Linux = openSUSE Leap 42.2
为什么 ausearch 找不到 SYSTEM_BOOT 和 SYSTEM_SHUTDOWN 的匹配项?