私はauditdで次のルールを使用しています:-w /etc -p wa -k watch_etc
しかし、ausearch -k watch_etc -ts today | aureport -f -i
を使用してレポートを確認すると
ディレクトリ/etc/auditd/rules.d/
で行った変更が見つからないようです。
ただし、/etc/
の下にファイルを作成すると、touch
コマンドを使用したレポートにエントリが作成されます。
01/24/201909:11:03テストオープンはい/ usr/bin/touch root 7441
別の方法を使用しているが同じ結果のスレッドに出くわしました。私は解決策を考え出しました:
-a exit,always -F dir=/etc -p wa -F key=watch_etc