Por acaso você está rodando 64 bits? Você pode precisar qualificar a arquitetura.
Então -a exit, sempre -F arch = b32 -S stime
Deixe-me saber.
Estou definindo regras de auditoria em /etc/audit/audit.rules.
Como o requisito: O sistema de auditoria deve ser configurado para auditar todas as ações administrativas, privilegiadas e de segurança.
Por isso, adiciono uma linha ao /etc/audit/auditd.rules:
-a exit,always -S stime -S acct -S reboot -S swapon
No entanto, depois de reiniciar o audit.d pelo serviço auditd restart:
There is error comeout:
Stopping auditd: [ OK ]
Starting auditd: [ OK ]
Syscall name unknown: stime
There was an error in line 14 of /etc/audit/audit.rules
Parece que o stime não pode ser reconhecido. Alguém poderia me ajudar a descobrir o que há de errado com minha regra adicional? Muito obrigado!
Por acaso você está rodando 64 bits? Você pode precisar qualificar a arquitetura.
Então -a exit, sempre -F arch = b32 -S stime
Deixe-me saber.
Você não deveria adicionar isso a /etc/audit/audit.rules ?