Por padrão, não há regras de auditoria. Este arquivo existe como base para escrever suas próprias regras. Não há nenhuma regra que seja útil em todo o sistema, portanto, a distribuição não vem com regras. O que você precisa registrar depende do que você usa para o seu sistema e o que você quer saber sobre ele.
O arquivo inicia limpando as regras existentes para que você possa reiniciar o serviço de auditoria em um sistema em execução e chegará a um estado conhecido, independente de quais regras estavam presentes antes.
Observe que, geralmente, as regras são gravadas em arquivos em /etc/audit/rules.d
. Isso facilita a manipulação de conjuntos de regras independentes, especialmente se alguns arquivos vierem de pacotes ou de softwares de gerenciamento de configuração, como Puppet ou Ansible. O arquivo /etc/audit/audit.rules
é gerado novamente antes de (re) iniciar o serviço de auditoria.