我正在尝试使用auditd来监视对目录的更改。 问题是,当我设置一个规则,它会监视我指定的目录,但所有的子目录和文件使监视器无用,由于无尽的冗长。
这是我设置的规则:
auditctl -w /home/raven/public_html -p war -k raven-pubhtmlwatch 当我使用search日志
ausearch -k raven-pubhtmlwatch
我得到了数千行日志,列出了public_html /
我如何才能将规则限制在仅指定目录的更改?
非常感谢你。
手表真是一个伪装的系统调用规则。 如果您将手表放置在目录上,auditctl会将其转换为:
-a exit,always -F dir=/home/raven/public_html -F perm=war -F key=raven-pubhtmlwatch
-F dir字段是递归的。 但是,如果只想查看目录条目,则可以将其更改为-F路径。
-a exit,always -F path=/home/raven/public_html -F perm=war -F key=raven-pubhtmlwatch
这不是递归的,只是监视目录占用的inode。
我必须在/etc/audit/audit.rules中手动添加规则
然后使用重新启动auditd
/etc/init.d/auditd restart
现在规则被添加了,它的效果很好! 所有功劳都归Steve @ redhat在审核邮件列表中回答我的问题: https : //www.redhat.com/archives/linux-audit/2013-September/msg00057.html