SYSTEM_BOOT 또는 SYSTEM_SHUTDOWN을 검색할 때 왜 일치하는 항목을 찾을 수 없는지 스스로에게 물었습니다.
ausearch -m SYSTEM_BOOT
ausearch -m SYSTEM_SHUTDOWN
부팅 중에 이벤트가 손실되지 않도록 하기 위해 커널 매개변수 "audit=1audit_backlog_limit=320"을 추가했습니다. 이는 최소한 SYSTEM_BOOT에 영향을 주어야 합니다. 그러나 그것은 진실이 아니다. 이유는 무엇입니까? 특정 규칙을 적용해야 합니까?
리눅스 = 오픈수세 도약 42.2