どのプロセスが特定のディレクトリからファイルを削除しているかを把握しようとしているので、システムでauditd
を設定して実行したいと思います。
audit.rules
に次のルールを設定しました。
-w S unlink -S truncate -S ftruncate -a exit,always -k cache_deletion -w /home/myfolder/cache
次に、これを入力して監査デーモンを開始します。
auditctl -R /etc/audit/audit.rules -e 1
しかし、私はこのエラーメッセージを受け取ります:
Error - nested rule files not supported
私がここで間違っていること、そしてこれを解決する方法を誰かが知っていますか?
また、起動時にデーモンを実行するにはどうすればよいですか?
そのルールは、監査する2つのパスを定義しようとしています。-w S
および-w /home/myfolder/cache
。使用できるのは-p and -k
オプションと-w
も。
次のルールを試してください。
-a exit,always -S unlinkat -S truncate -S ftruncate -F dir=/home/myfolder/cache -F key=cache_deletion
...または簡単にするために:
-w /home/myfolder/cache -k cache_deletion -p wa
起動時にサービスを開始するには:
/sbin/chkconfig auditd on