Para expandir meu comentário anterior:
Em vez de abuso, espero que seus arquivos de log tenham atingido um tamanho máximo ou que os eventos tenham ocorrido há mais de X e que as entradas mais antigas tenham sido excluídas pelo sistema.
A maioria dos sistemas é configurada com padrões que não mantêm os registros indefinidamente e os empacotadores normalmente incluem um script drop-in de rotação de log (em /etc/logrotate.d
) ou se o serviço suporta tal coisa, limites de idade e / ou tamanho registra no próprio daemon.
O auditd é da segunda variedade.
Verifique seu auditd.conf
para suas configurações atuais e man 5 auditd.conf
para todas as opções e padrões suportados; como as configurações de max_log_file
e num_logs
que você encontrou.
Para responder ao título da sua pergunta:
Can auditd logs be modified?
Sim: se você conceder às pessoas acesso de nível de administrador, elas geralmente poderão modificar todo o seu sistema. É por isso que é uma prática recomendada duplicar eventos de log para um servidor de log remoto seguro.