Как просмотреть все каталоги (включая все подкаталоги), используя Auditd?

Question

Как просмотреть все каталоги (включая все подкаталоги), используя Auditd?

Я использую правило в audd, которое:
-w /etc -p wa -k watch_etc
Но после проверки отчета с помощью ausearch -k watch_etc -ts today | aureport -f -i
Я не могу найти изменения, которые я сделал в каталоге /etc/auditd/rules.d/,
Тем не менее, создание файла в /etc/ создаст запись в отчете, который я использовал touch команда.

24.01.2009 09:11:03 тест открыть да /usr/bin/touch root 7441

1

linux centos-7 auditd

Источник

Gilroy Toledano 24 янв '19 в 01:24

1 ответ

Решение

Другие вопросы по тегам linux centos-7 auditd

Gilroy Toledano 24 янв '19 в 01:53 2019-01-24 01:53 · Accepted Answer · 2019-01-24 01:53

Я наткнулся на поток, который использует другой метод, но с теми же результатами. Я пришел с решением:

-a exit,always  -F dir=/etc  -p wa -F key=watch_etc

0

Источник

Gilroy Toledano 24 янв '19 в 01:53