前提：相關services均有重啟、確認status正常、均使用root、Red Hat 7.9 & 8.6。
vi /etc/audit/rules.d/audit.rules
底下有加了：-w /tmp/test -p wa -k audit_check
手動執行都正常：
ausearch -ts today -k audit_check > /var/log/audit_check/audit_check.log
當/tmp/test內有異動會寫入到audit_check.log
但我用crontab設定：
xx xx * * * ausearch -ts today -k audit_check > /var/log/audit_check/audit_check.log
結果audit_check.log的內容反而變成空的(非無輸出，會被蓋掉)，請問為何?
其它嘗試(一樣手動跑shell可以、但透過crontab就不行)：
xx xx * * * sh /root/audit_check.sh
#!/bin/bash
PATH=/usr/sbin:/sbin:/usr/bin:/bin
/usr/sbin/ausearch -ts today -k audit_check > /var/log/audit_check/audit_check.log

看一下信箱有沒有收到錯誤訊息？

是成功的，只是覆蓋變成空值?有內容變無內容..

寫在 /etc/crontab 的 audit_check.sh 要有完整路徑

我直接用root去crontab -e，有給完整路徑，結果會是no match而空白，我懷疑是參數-ts today的問題？

看不出來你多久我執行一次，如果做一次要很久，結果下一個又開始執行了，就可能是空白