De acordo com o link :
success Records whether a system call was successful or failed.
O mesmo guia fornece um rápido passo-a-passo de um evento auditd, link .
success=no The success field records whether the system call recorded in that particular event succeeded or failed. In this case, the call did not succeed.
No entanto, outros eventos também podem ser considerados falhas, como eventos em que o campo res
é failed
(por exemplo, USER_LOGIN ou CRYPTO_KEY_USER)
res Records the result of the operation that triggered the Audit event.
Você também pode ter uma ideia do que esses eventos estão executando:
sudo aureport -i --failed -e
Isso lhe dará uma noção dos tipos de chamadas / eventos cobertos, e aqueles (no meu sistema, pelo menos) não são apenas SYSCALLs, mas outros eventos (como o USER_LOGIN anteriormente mencionado, por exemplo).