zkat’s diary

技術ブログ

Auditdのaureportをcronで使おうとしてハマる

aureportコマンドをcrontabで実行した際、何度やっても<no events of interest were found>と出力されてしまっていました。

結論としては、--input-logsオプションをつけることで想定通り動作するようになりました。

--input-logs
   Use the log file location from auditd.conf as input for analysis. 
   This is needed if you are using aureport from a cron job.