O autrace resumo da página do manual é um pouco confuso:
This command deletes all audit rules prior to executing the target program and after executing it. As a safety precaution, it will not run unless all rules are deleted with auditctl prior to use.
A primeira frase diz que autrace exclui as próprias regras de auditoria. A segunda frase diz que autrace verifica se alguma regra de auditoria existe antes de ser executada. Eles são contraditórios.
A mesma confusão é vista em outro lugar. Como usar o sistema de auditoria do Linux no CentOS 7 afirma que
running autrace will remove all custom auditing rules
que confirma a primeira frase. A página continua explicando que autrace falha se as regras de auditoria estiverem bloqueadas (imutáveis), o que pode explicar a segunda sentença.
Por outro lado, SUSE: Analisando processos com autrace afirma que é preciso manualmente emite auditctl -D antes de executar autrace .
Outro ponto de discórdia entre as duas páginas diz respeito ao autrace.log resultante: a primeira página declara:
looks similar to the standard audit log entries
enquanto o segundo diz:
does not look any different from the standard audit log entries.
Os logs são formatados da mesma forma ou não?
Um problema relacionado: a página de manual ausearch afirma:
can query the audit daemon logs
e fornece as opções --input e --input-logs para consultar um arquivo de log específico (histórico, importado, qualquer que seja) ou o arquivo de log especificado por auditd.conf , respectivamente. Mas o auditd e auditd.conf não especificam o local de registro padrão. Auditoria do Linux - Arquivos de log / var / log / audit afirmam o local padrão é /var/log/audit , porque esse é o valor padrão com o qual auditd.conf é criada. Mas isso tornaria a opção --input-logs inútil. Então, qual é a localização do log de auditoria padrão e como ela é determinada?
Tags audit