1

Я использую правило в audd, которое:
-w /etc -p wa -k watch_etc
Но после проверки отчета с помощью ausearch -k watch_etc -ts today | aureport -f -i
Кажется, я не могу найти изменения, которые я сделал в каталоге /etc/auditd/rules.d/ .
Однако создание файла в /etc/ создаст запись в отчете, которую я использовал touch командой.

24.01.2009 09:11:03 тест открыть да /usr /bin /touch root 7441

1 ответ1

0

Я наткнулся на поток, который использует другой метод, но с теми же результатами. Я пришел с решением:

-a exit,always  -F dir=/etc  -p wa -F key=watch_etc

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .