Eu me pergunto por que não recebo correspondências quando procuro por SYSTEM_BOOT ou SYSTEM_SHUTDOWN.
ausearch -m SYSTEM_BOOT
ausearch -m SYSTEM_SHUTDOWN
Para ter certeza de que os eventos não estão se perdendo durante a inicialização, adicionei os parâmetros do kernel "audit = 1 audit_backlog_limit = 320". Isso deve ter pelo menos um efeito no SYSTEM_BOOT. Mas isso não aconteceu. Qual pode ser o motivo? Devo aplicar uma determinada regra?
Linux = openSUSE Leap 42.2
Tags audit linux-audit