В aureport
У команды есть две опции, которые ограничивают список отображаемых событий успешными и неудачными. На странице руководства:
--failed
Only select failed events for processing in the reports. The default is both success and failed events.
--success
Only select successful events for processing in the reports. The default is both success and failed events.
Что это значит? Относится ли сбой / успех к фактическому событию (например, системному вызову, который вернул ненулевое значение), или сбой / успех относится к auditd, и возникла ли проблема при обработке события?
В соответствии с https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Security_Guide/app-Audit_Reference.html#sec-Audit_Events_Fields:
success Записывает, был ли системный вызов успешным или неудачным.
В том же руководстве содержится краткое описание события auditd. https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Security_Guide/sec-Understanding_Audit_Log_Files.html.
success = no В поле успеха записывается, был ли системный вызов, записанный в этом конкретном событии, успешным или неудачным. В этом случае вызов не удался.
Однако другие события также могут считаться отказами, например, события, в которых res
поле failed
(например, USER_LOGIN или CRYPTO_KEY_USER)
res Записывает результат операции, вызвавшей событие Audit.
Вы также можете получить представление о том, что это за события, запустив:
sudo aureport -i --failed -e
Это даст вам представление о типах вызовов / событий, которые охватываются, и это (по крайней мере, в моей системе) не просто SYSCALL, а другие события (например, ранее упомянутый USER_LOGIN).