我在 auditd 中使用了一条规则:
-w /etc -p wa -k watch_etc
但是在使用检查报告时,ausearch -k watch_etc -ts today | aureport -f -i
我似乎找不到我在目录中所做的更改/etc/auditd/rules.d/。
但是,在下创建一个文件/etc/将在报告上创建一个我使用touch命令的条目。
2019/01/24 09:11:03 测试打开是 /usr/bin/touch root 7441
答案1
我偶然发现了一个使用不同方法但结果相同的帖子。我想出了一个解决方案:
-a exit,always -F dir=/etc -p wa -F key=watch_etc