RHEL audita las reglas -D

Tengo una confusión sobre las reglas de auditoría de RedHat entriprise Linux. El audit.rules contiene el siguiente

# This file contains the auditctl rules that are loaded # whenever the audit daemon is started via the initscripts. # The rules are simply the parameters that would be passed # to auditctl. # First rule - delete all -D # Increase the buffers to survive stress events. # Make this bigger for busy systems -b 320 # Feel free to add below this line. See auditctl man page 

De la documentation -D significa:

 deletes all currently loaded Audit rules, for example: 

Entonces, ¿qué generarían las reglas de auditoria anteriores? audit.log ¿qué tipo de información sería allí? ¿Cómo puedo saber lo que se está monitoreando? Mi comprensión inicial de esta regla es que eliminaría todas las acciones auditadas previas una vez que se haya reiniciado, pero después de eso, ¿qué se está auditando realmente?

tu aclaración es muy apreciada

Por defecto, no hay reglas de auditoría. Este file existe como base para escribir sus propias reglas. No hay ninguna regla que sea útil en todo el sistema, por lo que la distribución no viene con reglas. Lo que necesita registrar depende de para qué usa su sistema y de lo que desea saber al respecto.

El file comienza borrando las reglas existentes para que pueda reiniciar el service de auditoría en un sistema en ejecución, y obtendrá un estado conocido, independientemente de las reglas que haya antes.

Tenga en count que, por lo general, las reglas se escriben en files en /etc/audit/rules.d . Esto hace que sea más fácil manipular sets independientes de reglas, especialmente si algunos files provienen de packages o de software de administración de configuration como Puppet o Ansible. El file /etc/audit/audit.rules se regenera justo antes de (re) iniciar el service de auditoría.