SYSTEM_BOOTまたはSYSTEM_SHUTDOWNを検索すると、なぜ一致するものが見つからないのかを自分に尋ねました。
ausearch -m SYSTEM_BOOT
ausearch -m SYSTEM_SHUTDOWN
起動中にイベントが失われないように、カーネルパラメータ "audit=1audit_backlog_limit=320" を追加しました。これは少なくともSYSTEM_BOOTに影響を与えるべきです。しかしそれは真実ではない。なぜですか?特定のルールを適用する必要がありますか?
Linux = オープンシューターホップ 42.2