ausearch 未返回 AVC 和 sudo 的匹配项

ausearch 未返回 AVC 和 sudo 的匹配项

我正在使用一系列 PCI-DSS 规则运行auditd,但有一些异常情况。

cat audit.log | grep type | grep AVC

返回一堆条目,例如

type=AVC msg=audit(1567154215.586:353): apparmor="STATUS" operation="profile_replace" info="same as current profile, skipping" profile="unconfined" name="snap-update-ns.core" pid=22810 comm="apparmor_parser"

但运行时ausearch -m AVC -if audit.log它不会返回任何条目。我是否缺少某些东西(或已被替换)?

另外,还有 sudo 规则-w /usr/bin/sudo -p x -k priv_esc,但每当我 sudo 到 root 时,审核日志中都没有相应的条目。

我的设置有问题吗?

相关内容