再起動/終了/ログインを監視するようにaudidを設定しました。次のファイルシステムルールとシステムコールルールを追加してみてください。
-w /sbin/shutdown -p x -k power
-w /sbin/poweroff -p x -k power
-w /sbin/reboot -p x -k power
-w /sbin/halt -p x -k power
システムコール方法:
-a exit,always -F arch=b64 -S execve -F path=/sbin/reboot -k power
-a exit,always -F arch=b64 -S execve -F path=/sbin/halt -k power
-a exit,always -F arch=b64 -S execve -F path=/sbin/poweroff -k power
-a exit,always -F arch=b64 -S execve -F path=/sbin/shutdown -k power
これらのどれも操作を完了できないようですが、他のログは正常に追加されます。たとえば、次は期待どおりに記録されます。
-w /usr/bin/dpkg -p x -k apps
他のデバイスとUbuntuの2つのバージョン(16.04と18.04)で試しました。