O Windows tem EventID 1102 "O log de auditoria foi limpo" . Qual é o evento de auditoria equivalente no Unix/Linux?
Se alguém tiver um evento de amostra e souber qual política de auditoria precisa ser configurada para obter esse evento, publique-o também.
Não há: o log de auditoria é um arquivo de texto que pode ser excluído. No entanto, se auditd estiver configurado para ser executado a partir da inicialização inicial, auditd não poderá ser interrompido e continuará gravando em seu descritor de arquivo aberto. Isso registraria a exclusão se auditd fosse configurado para observar seu log de saída (embora você precise recuperar o arquivo para ver as informações).
Normalmente (em sistemas de usuário final), auditd é configurado para registrar "eventos de segurança" (login/logout), mas pode ser instruído a observar os arquivos em busca de alterações. Não há nada específico para (por exemplo)
/var/log/audit/auditd.log, mas você pode estabelecer uma vigilância para ele conforme documentado na página de manual.Leitura adicional: