Может ли aureport показать полный путь к файлам?
Образы initramfs могут содержать несколько сегментов, и в настоящее время принято иметь короткий cpioархив, содержащий ранние -загрузочные файлы (, такие как обновления микрокода ), перед основным, сжатым, cpioархивом. В таких случаях вы можете использовать такой инструмент, какlsinitramfs(в Debian и производных )илиlsinitrd(в Fedora, RHEL и производных ), чтобы просмотреть полное содержимое initramfs.
(lsinitramfsне поддерживает многосегментные файлы -в целом, но обрабатывает особый случай, описанный выше. lsinitrdтакже поддерживает особый случай, описанный выше, я не уверен, поддерживает ли он другие многосегментные -изображения.)
Вы можете выполнить ausearch -k my-key --format textили ausearch -k delete --format csvбез подключения к aureport. Вы можете фильтровать по дате начала -, дате окончания (--start --end), идентификатору пользователя(--uid 123)и результату (--success yes|no)