Noté que si todo funciona bien con auditd en Ubuntu, y luego se borra el registro en /var/log/audit/audit.log (todo el texto borrado, el archivo no se borra), auditd ya no registrar eventos hasta que se reinicie. ¿Es este el comportamiento predeterminado?
* Si no puedes reproducir esto inmediatamente, comenta y eliminaré esta publicación.