我有一些auditd规则,例如:
-a always,exit -F arch=b32 -S execve -F euid=1002 -k mytag
-a always,exit -F arch=b64 -S execve -F euid=1002 -k mytag
-a always,exit -F arch=b32 -S execve -F euid=1003 -k mytag
-a always,exit -F arch=b64 -S execve -F euid=1003 -k mytag
运行正常,但我想跟踪sudo这些用户运行的命令,所以我添加了
-a always,exit -F arch=b32 -S execve -F euid=0 -k mytag
-a always,exit -F arch=b64 -S execve -F euid=0 -k mytag
但sudo命令似乎没有用键标记。指定这两组命令有什么问题吗?这些规则的顺序重要吗?