Auditd-auditctl 规则仅监控目录（并非所有子目录和文件等）

Question 1

感谢 Steve @ redhat 回答了我的问题Linux 审计邮件列表：

监视实际上是伪装的系统调用规则。如果你对目录进行监视，auditctl 会将其变成：
-a exit,always -F dir=/home/raven/public_html -F perm=war -F key=raven-pubhtmlwatch
dir字段-F是递归的。但是，如果您只想查看目录条目，则可以将其更改为-Fpath。
-a exit,always -F path=/home/raven/public_html -F perm=war -F key=raven-pubhtmlwatch
这不是递归的，只是监视目录占用的 inode。

我必须手动添加规则然后/etc/audit/audit.rules重新启动审计和

/etc/init.d/auditd restart

现在规则已添加并且运行良好！

Answer

感谢 Steve @ redhat 回答了我的问题Linux 审计邮件列表：

监视实际上是伪装的系统调用规则。如果你对目录进行监视，auditctl 会将其变成：
-a exit,always -F dir=/home/raven/public_html -F perm=war -F key=raven-pubhtmlwatch
dir字段-F是递归的。但是，如果您只想查看目录条目，则可以将其更改为-Fpath。
-a exit,always -F path=/home/raven/public_html -F perm=war -F key=raven-pubhtmlwatch
这不是递归的，只是监视目录占用的 inode。

我必须手动添加规则然后/etc/audit/audit.rules重新启动审计和

/etc/init.d/auditd restart

现在规则已添加并且运行良好！

Question 2

Ubuntu 12.04 似乎对系统对象的行为方式不同。尝试将此监视放在 /etc 或 /usr/lib 上（在另一篇文章中，尝试监视顶级目录似乎存在问题）。然后在其中一个目录中创建一些内容，audit.log 中不会显示任何带有关键字的内容。这些项目与 PCI DSS 3.1 10.2.7 的测试有关。

Answer

Ubuntu 12.04 似乎对系统对象的行为方式不同。尝试将此监视放在 /etc 或 /usr/lib 上（在另一篇文章中，尝试监视顶级目录似乎存在问题）。然后在其中一个目录中创建一些内容，audit.log 中不会显示任何带有关键字的内容。这些项目与 PCI DSS 3.1 10.2.7 的测试有关。

Auditd-auditctl 规则仅监控目录（并非所有子目录和文件等）

答案1

答案2

相关内容