信息
在 Centos 7 上运行 auditd 版本 2.6.5。
我的规则文件包含:
-a exit,always -F arch=b64 -F auid=0 -S execve -k root_action
-a exit,always -F arch=b32 -F auid=0 -S execve -k root_action
当我跑步时which echo
,我得到了/usr/bin/echo
。
问题
当我运行时echo "asd"
,什么都没有登录/var/log/audit/audit.log
。但是,当我运行时,/usr/bin/echo "asd"
我看到一个事件被记录下来。为什么不使用绝对路径就不行?