我正在使用一系列 PCI-DSS 规则运行auditd,但有一些异常情况。
cat audit.log | grep type | grep AVC
返回一堆条目,例如
type=AVC msg=audit(1567154215.586:353): apparmor="STATUS" operation="profile_replace" info="same as current profile, skipping" profile="unconfined" name="snap-update-ns.core" pid=22810 comm="apparmor_parser"
但运行时ausearch -m AVC -if audit.log它不会返回任何条目。我是否缺少某些东西(或已被替换)?
另外,还有 sudo 规则-w /usr/bin/sudo -p x -k priv_esc,但每当我 sudo 到 root 时,审核日志中都没有相应的条目。
我的设置有问题吗?