Мне нужно обновить /etc/audit/audit.rules. Я бы заменил файл перезапуском службы, но я обнаружил в журнале вызов augenrules во время первоначального запуска машины.
Есть ли время, когда augenrules запускается автоматически, помимо первоначального запуска?
Ответ в /etc/systemd/system/multi-user.target.wants/auditd.service
[Service]
ExecStart=/sbin/auditd -n
## To not use augenrules, copy this file to /etc/systemd/system/auditd.service
## and comment/delete the next line and uncomment the auditctl line.
## NOTE: augenrules expect any rules to be added to /etc/audit/rules.d/
ExecStartPost=-/sbin/augenrules --load
#ExecStartPost=-/sbin/auditctl -R /etc/audit/audit.rules
ExecReload=/bin/kill -HUP $MAINPID
Итак, запуск службы вызывает авгенрулы. Обратите внимание, что служба запускается только при запуске сервера.