Auditedを使用してすべてのディレクトリ(すべてのサブディレクトリを含む)を監視する方法は?
私はauditdで次のルールを使用しています:-w /etc -p wa -k watch_etc
しかし、ausearch -k watch_etc -ts today | aureport -f -iを使用してレポートを確認すると
ディレクトリ/etc/auditd/rules.d/で行った変更が見つからないようです。
ただし、/etc/の下にファイルを作成すると、touchコマンドを使用したレポートにエントリが作成されます。
01/24/201909:11:03テストオープンはい/ usr/bin/touch root 7441
別の方法を使用しているが同じ結果のスレッドに出くわしました。私は解決策を考え出しました:
-a exit,always -F dir=/etc -p wa -F key=watch_etc