Как мне интерпретировать сводку изменений aide.log

Это подробно описано в aide.conf Страница справочника, воспроизведенная здесь для полноты и является настраиваемым атрибутом сгенерированных отчетов:

summarize_changes

Обобщать ли изменения в добавленных, удаленных и измененных файлах разделов отчета или нет. Допустимые значения: да, правда, нет и ложь. По умолчанию не суммируются изменения.

Общий формат похож на строку YlZbpugamcinCAXS, где Y заменяется типом файла (f для обычного файла, d для каталога, L для символической ссылки, D для символьного устройства, B для блочного устройства, F для FIFO, s для сокета unix и ? в противном случае).

Z заменяется следующим образом: A = означает, что размер не изменился, a < сообщает об уменьшенном размере, а a > сообщает об увеличенном размере.

Другие буквы в строке являются фактическими буквами, которые будут выводиться, если связанный атрибут для элемента был изменен, или " . " Для изменений, " + ", если атрибут был добавлен, " - ", если он был удален, " : ", если атрибут указан в ignore_list, или " ", если атрибут не был проверен. Исключениями являются: (1) вновь созданный файл заменяет каждую букву на " + ", и (2) удаленный файл заменяет каждую букву на " - ".

Атрибут, связанный с каждой буквой, выглядит следующим образом:

• l означает, что имя ссылки изменилось.
• b означает, что количество блоков изменилось.
• p означает, что разрешения изменились.
• u означает, что UID изменился.
• g означает, что гид изменился.
• a означает, что время доступа изменилось.
• m означает, что время модификации изменилось.
• c означает, что время изменения изменилось.
• i означает, что индекс изменился.
• n означает, что количество ссылок изменилось.
• C означает, что одна или несколько контрольных сумм были изменены.
• A означает, что список контроля доступа изменился.
• X означает, что расширенные атрибуты изменились.
• S означает, что атрибуты SELinux изменились.