auditctl -l 仅显示很少的规则

auditctl -l 仅显示很少的规则

我在用

/etc/audit/rules.d/*.rules

文件来生成

/etc/audit/audit.rules

其中有 120 行。

但如果我跑

auditctl -l

但结果我只得到 14 行。

为什么会出现这种情况?

答案1

你需要执行augenrules.

这是一个可执行脚本,它会检查您在rules.d 中的规则并将它们编译成单个有效文件。

因此,您还应该确保rules.d 中的所有文件都以新行结尾。否则,生成的文件将具有无效规则。

如果您使用旧版本的auditd,您可能没有该脚本。但事实上,它只是一个脚本,您可以从较新版本的auditd 中获取它并将其放置在路径中的某个位置。虽然,我不推荐它,但如果是这种情况,您应该将auditd升级到更新的版本。

相关内容