在我的 中/etc/audit/audit.rules,我有以下手表:
-w /some/place/special -p rwxa -k my_key
在我的文件系统上,我有以下树:
/some/place/special/foo/test-rename/james/sub-subdirectory1/a_file
...但是当我运行时,日志中没有显示任何事件:
mv /some/place/special/foo/test-rename/james/sub-subdirectory1/a_file /some/place/special/foo/test-rename/bill/sub-subdirectory1/a_file
我该如何配置auditd才能捕获这个?
答案1
如果子目录是挂载点,则会跳过它。使用“-q”可禁用此行为。
另外,通过运行以下命令验证规则是否正确加载:
auditctl -l
列出所有规则。
还建议使用系统调用规则(例如“-a”)而不是监视规则(“-w”),因为系统调用规则更加通用。您的规则的等效系统调用规则是:
-a always,exit -F path=/some/place/special -F perm=rwxa
如果文件移动仍然没有得到审核,我建议尝试其他操作,例如在“特殊”目录中创建文件或目录,因为这将触发“w”权限。
使用“strace”和其他操作来识别正在使用哪些系统调用总是一个好主意。