이것autrace 맨페이지 요약약간 혼란스럽다:
이 명령은 대상 프로그램 실행 전후의 모든 감사 규칙을 삭제합니다. 안전 예방 조치로 사용하기 전에 auditctl을 사용하여 모든 규칙을 제거하지 않으면 실행되지 않습니다.
첫 번째 문장은 autrace감사 규칙 자체를 삭제하라는 내용입니다. 두 번째 문장은 autrace실행하기 전에 감사 규칙이 존재하는지 확인하라는 의미입니다. 그들은 모순적입니다.
다른 곳에서도 동일한 혼란이 존재합니다.CentOS 7에서 Linux 감사 시스템을 사용하는 방법지적
autrace를 실행하면 모든 사용자 정의 감사 규칙이 제거됩니다.
이것은 첫 번째 문장을 확인합니다. 페이지에서는 autrace감사 규칙이 잠겨 있으면(불변) 실패한다는 점을 설명하고 두 번째 문장을 설명합니다.
반면에,SUSE: autrace를 사용하여 프로세스 분석명령문은 auditctl -D실행하기 전에 수동으로 발행되어야 합니다 autrace.
두 페이지 사이의 또 다른 논쟁점은 결과에 관한 것입니다 autrace.log. 첫 번째 페이지에는 다음과 같이 명시되어 있습니다.
표준 감사 로그 항목과 유사해 보입니다.
두 번째 내용은 다음과 같습니다.
표준 감사 로그 항목과 다르지 않습니다.
로그 형식이 동일합니까?
관련 질문:ausearch 매뉴얼 페이지지적했다:
감사 데몬 로그를 쿼리할 수 있습니다.
그리고 특정 로그 파일(기록, 가져온 등) 또는 지정된 로그 파일을 각각 쿼리하는 옵션을 --input제공 합니다 . 그러나 기본 로깅 위치는 지정되지 않습니다 .--input-logsauditd.confauditdauditd.confLinux 감사 – 로그 파일 /var/log/audit기본 위치가 선언된 이유는 /var/log/audit기본값이 생성되기 때문입니다. auditd.conf그러나 그렇게 되면 선택이 의미가 없게 됩니다 --input-logs. 그렇다면 기본 감사 로그 위치는 무엇이며 어떻게 결정됩니까?