Я рекомендовал бы или VirtualBox или если у Вас есть достаточно недавнее ядро + процессор, попробуйте Qemu-KVM.
Я имею, лично запустил несколько Linux на Qemu одновременно, и он работает просто великолепно.
Журналы от контрольной подсистемы основаны на путях. Можно поместить часы на имя файла, даже если тот файл не существует. Вы получите записи в журнале, если файл будет создан и получен доступ.
Все журналы от auditd
сохраняются в одном файле (обычно /var/log/audit/auditd.log
).
Можно перечислить контрольные правила с auditctl -l
.