我在Ubuntu 20系统上尝试将审计日志发送到destination@example.com（实际使用了真实域名和邮件服务器，这里做了隐去处理），但每次触发审计事件时，邮件都会发送到本地的root账户，而非我指定的目标邮箱。

目前我已经尝试了以下操作：

• 测试基础邮件功能：执行命令 echo "Subject: test" | sendmail -f root@my_machine.com destination@example.com，测试邮件成功发送到目标邮箱，说明系统的邮件发送功能是正常的。
• 修改auditd配置：编辑/etc/audit/auditd.conf文件，将默认的action_mail_acct = root修改为action_mail_acct = destination@example.com。
• 重启auditd服务：修改配置后执行service auditd restart命令重启了审计服务。
• 排查日志问题：检查了/var/log/mail.err和/var/log/mail.log两个邮件日志文件，没有找到相关的错误信息。

更新内容 #

我确认action_mail_acct已经设置为真实的目标邮箱后，在终端执行sudo ls生成了一个审计事件，这个事件能在/var/log/audit/audit.log中正常查看。我想请教大家：如果这个审计事件本该触发邮件通知的话，它还会同时保留在本地的audit.log日志里吗？是不是我还有什么配置步骤没做到位？

备注：内容来源于stack exchange，提问作者J'e