На вершине /etc/audit/audit.rules на Centos7 он говорит мне:
## This file is automatically generated from /etc/audit/rules.d
Хорошо, я пошел, посмотрел и нашел /etc/audit/rules.d/audit.rules. В нем была следующая строка
# Feel free to add below this line. See auditctl man page
Что я сделал, и нашел то, что смотрел вроде бы это был вариант:
-R file
Read rules from a file. The rules must be 1 per line and in the order that they are to be executed in. The rule file must be
owned by root and not readable by other users or it will be rejected. The rule file may have comments embedded by starting
the line with a '#' character. Rules that are read from a file are identical to what you would type on a command line except
they are not preceded by auditctl (since auditctl is the one executing the file) and you would not use shell escaping since
auditctl is reading the file instead of bash.
Но я сбежал auditctl -R /etc/audit/rules.d/audit.rules который, казалось, работал, тем не мение это ничего не сделало /etc/audit/audit.rules.
Как правильно восстановить этот файл?
Утилита augenrules строит /etc/audit/audit.rules из файлов * .rules, находящихся в каталоге /etc/audit/rules.d.
Эта утилита вызывается из службы auditd (или вы можете вызвать ее вручную с последующей загрузкой файлов правил, как вы обнаружили, но перезапустить службу проще).
Я не могу вспомнить причину, по которой система auditd не может использовать systemd изначально. Проверьте архивы списков рассылки linux-audit@redhat.com.