Auditd 服务重启后在 /etc/audit/rules.d/ 中创建 auoms.rules 文件

已安装auditd到我的 Ubuntu 18.04，但设置规则导致问题。我想摆脱auoms.rules。

auoms.rules( etc/audit/rules.d/auoms.rules) 文件包含我不需要的规则，etc/audit/audit.rules每次 Auditd 服务重新启动时，这些规则都会被合并。如果我删除它，它会重新创建并再次合并。如果我注释规则，更改将被覆盖并合并。

我尝试了这里的说明：/lib/systemd/system/auditd.service禁用 augen 规则，但没有奏效。auoms.rules文件已按之前的方式创建和合并。还尝试了以下指南来做同样的事情：

1. 将文件移动/usr/lib/systemd/system/auditd.service到/etc/systemd/system/auditd.service以防止旧文件调用augenrules然后从中/etc/systemd/system/auditd.service删除注释以ExecStartPost=-/sbin/auditctl -R /etc/audit/audit.rules保存它
   

2. 清除旧规则/etc/audit/audit.rules。然后systemctl daemon-reload是服务auditd restart
   

3. service auditd status如下所示。Active: active (running) since Tue 2016-07-05 18:49:51 UTC; 1s ago Process: 8377 ExecStartPost=/sbin/auditctl -R /etc/audit/audit.rules (code=exited, status=0/SUCCESS)

一切正常，我能够ExecStartPost=/sbin/auditctl -R /etc/audit/audit.rules获得状态。

然而，当我运行auditctl -l（查看当前规则）时，我注意到 auoms 规则又出现了……：

-w /bin/kmod -p x -k auoms -k kernelmodules <br>
-w /var/log/audit -p wxa -k audittampering -k auoms  
-w /etc/audit -p wxa -k audittampering -k auoms  
-w /etc/passwd -p wxa -k auoms -k usergroup 
-w /etc/group -p wxa -k auoms -k usergroup  
-w /etc/pam.d -p wxa -k auoms -k pam 
-a always,exit -F arch=b32 -S execve,execveat -F key=auoms 
-a always,exit -F arch=b64 -S execve,execveat -F key=auoms