信息

在 Centos 7 上运行 auditd 版本 2.6.5。

我的规则文件包含：

-a exit,always -F arch=b64 -F auid=0 -S execve -k root_action
-a exit,always -F arch=b32 -F auid=0 -S execve -k root_action

当我跑步时which echo，我得到了/usr/bin/echo。

问题

当我运行时echo "asd"，什么都没有登录/var/log/audit/audit.log。但是，当我运行时，/usr/bin/echo "asd"我看到一个事件被记录下来。为什么不使用绝对路径就不行？