Eu coloquei uma regra de auditoria no comando jcmd da seguinte forma:
auditctl -w /usr/bin/jcmd -p x -k jvm_debug
No entanto, quando eu o executo, ele não escreve nada para registrar.
Olhando para guias e questões anteriores sobre este assunto, eles usam o mesmo formato, mas dão o comando who como exemplo.
Então eu tentei também:
auditctl -w /usr/bin/who -p x -k who
Para o comando who , o auditd escreve um log ao executá-lo.
apenas para depuração adicional, executei esses comandos com strace , informando para seguir open e execve syscalls.
Com o open, estou vendo principalmente chamadas para bibliotecas, mas não o executável. No entanto, ambos os comandos strace a saída, começa com um execve syscall para o arquivo que eu corri.
Como é que o auditd "perde" a chamada do sistema execve para o comando jcmd , mas não para o comando who ?