Как интерпретировать сводку изменений в aide.log

Это подробно описано в aide.conf страница руководства, воспроизведенная здесь для полноты, и является настраиваемым атрибутом сгенерированных отчетов:

summarize_changes

Обобщать ли изменения в разделах отчета добавленные, удаленные и измененные файлы. Допустимые значения: да, истина, нет и ложь. По умолчанию изменения не суммируются.

Общий формат похож на строку YlZbpugamcinCAXS, где Y заменяется на тип файла (ж для обычного файла, d для справочника, L для символьной ссылки, D для символьного устройства, B для блочного устройства, F для FIFO, s для сокета unix и ? в противном случае).

В Z заменяется следующим образом: A знак равно означает, что размер не изменился, < сообщает об уменьшенном размере и > сообщает об увеличении размера.

Остальные буквы в строке - это фактические буквы, которые будут выведены, если связанный атрибут для элемента был изменен или "."без изменений"+"если атрибут был добавлен,"-"если он был удален, a":"если атрибут указан в ignore_list или" ", если атрибут не был проверен. Исключения из этого: (1) вновь созданный файл заменяет каждую букву на"+", и (2) удаленный файл заменяет каждую букву на"-".

Атрибут, связанный с каждой буквой, выглядит следующим образом:

• А l означает, что название ссылки изменилось.
• А b означает, что количество блоков изменилось.
• А p означает, что разрешения изменились.
• An u означает, что uid изменился.
• А g означает, что гид изменился.
• An a означает, что время доступа изменилось.
• А m означает, что время модификации изменилось.
• А c означает, что время изменения изменилось.
• An i означает, что индекс изменился.
• А n означает, что количество ссылок изменилось.
• А C означает, что одна или несколько контрольных сумм изменились.
• А A означает, что список контроля доступа изменился.
• А X означает, что расширенные атрибуты изменились.
• А S означает, что атрибуты SELinux изменились.