ausearch는 AVC 및 sudo와 일치하는 항목을 반환하지 않습니다.

일련의 PCI-DSS 규칙을 사용하여 auditd를 실행하고 있는데 몇 가지 예외가 있습니다.

cat audit.log | grep type | grep AVC

다음과 같은 여러 항목을 반환합니다.

type=AVC msg=audit(1567154215.586:353): apparmor="STATUS" operation="profile_replace" info="same as current profile, skipping" profile="unconfined" name="snap-update-ns.core" pid=22810 comm="apparmor_parser"

그러나 실행하면 ausearch -m AVC -if audit.log항목이 반환되지 않습니다. 뭔가 빠졌나요(또는 교체되었나요)?

또한 sudo 규칙이 있지만 -w /usr/bin/sudo -p x -k priv_esc루트로 sudo할 때마다 감사 로그에 해당 항목이 없습니다.

설정에 문제가 있나요?