Я пытаюсь использовать audd для мониторинга изменений в каталоге. Проблема в том, что когда я настраиваю правило, оно отслеживает указанный мной каталог, а также все подкаталоги и файлы под ним, что делает мониторинг бесполезным из-за бесконечного многословия.
Вот как я настраиваю правило:
auditctl -w /home/raven/public_html -p war -k raven-pubhtmlwatch
Когда я ищу в журналах, используя
ausearch -k raven-pubhtmlwatch
Я получаю тысячи строк из журналов, которые перечисляют все в public_html
.
Как я могу ограничить правило только изменениями в указанном каталоге?