Я использую правило в audd, которое:
-w /etc -p wa -k watch_etc
Но после проверки отчета с помощью ausearch -k watch_etc -ts today | aureport -f -i
Кажется, я не могу найти изменения, которые я сделал в каталоге /etc/auditd/rules.d/
.
Однако создание файла в /etc/
создаст запись в отчете, которую я использовал touch
командой.
24.01.2009 09:11:03 тест открыть да /usr /bin /touch root 7441