我在用
/etc/audit/rules.d/*.rules
文件来生成
/etc/audit/audit.rules
其中有 120 行。
但如果我跑
auditctl -l
但结果我只得到 14 行。
为什么会出现这种情况?
答案1
你需要执行augenrules
.
这是一个可执行脚本,它会检查您在rules.d 中的规则并将它们编译成单个有效文件。
因此,您还应该确保rules.d 中的所有文件都以新行结尾。否则,生成的文件将具有无效规则。
如果您使用旧版本的auditd,您可能没有该脚本。但事实上,它只是一个脚本,您可以从较新版本的auditd 中获取它并将其放置在路径中的某个位置。虽然,我不推荐它,但如果是这种情况,您应该将auditd升级到更新的版本。