Unix/Linux 中的“審核日誌已清除”事件的 Windows 等效項是什麼？

Windows 有EventID 1102 “The audit log was clear”。Unix/Linux 中的等效審計事件是什麼？

如果有人有範例事件，並且知道需要配置什麼審計策略來獲取此事件，請也發布。

沒有：審計日誌是一個可以刪除的文本文件。但是，如果將 auditd 配置為從初始啟動開始執行，則無法停止 auditd 並將繼續寫入其打開的文件描述符。如果將 auditd 配置為查看其輸出日誌，這將記錄刪除（儘管您必須恢復文件才能查看資訊）。

通常（在最終使用者系統上），auditd 被配置為記錄“安全事件”（登錄/註銷），但可以被告知監視文件的更改。(例如) 沒有什麼特定的/var/log/audit/auditd.log，但您可以按照手冊頁中的說明為它建立一個手錶。

進一步閱讀：

• Linux 審計文件以查看誰對文件進行了更改

引用自：https://unix.stackexchange.com/questions/458562