我在 audit.conf 文件中有一些规则。执行 auditctl -l 时,它们不会显示出来。如果我重新启动 auditd 服务并再次执行 auditctl -l,则规则会显示出来。知道这是为什么吗?我可以在哪里检查启动过程中是否有错误?
答案1
这是正常行为。您必须重新启动审计守护进程才能利用更改,以便它重新读取 /etc/audit/ 文件。如果您使用 auditctl 添加规则,它将立即生效,但不会持久。
auditctl -l 不显示规则
我在 audit.conf 文件中有一些规则。执行 auditctl -l 时,它们不会显示出来。如果我重新启动 auditd 服务并再次执行 auditctl -l,则规则会显示出来。知道这是为什么吗?我可以在哪里检查启动过程中是否有错误?
这是正常行为。您必须重新启动审计守护进程才能利用更改,以便它重新读取 /etc/audit/ 文件。如果您使用 auditctl 添加规则,它将立即生效,但不会持久。