我想在 auditd 规则中使用 -q 标志,但带有 -q 标志的规则不起作用,甚至没有添加到规则列表中。我有这样的规则:
-a always,exit -F path=/home/lukashubl/ -q /home/lukashubl/dirtest,/home/lukashubl/dirtest/bin -F perm=rwxa
我正在使用 auditbeat 并收到此错误:
flag provided but not defined: -q accessing '0'
我还尝试使用 auditctl 测试该规则:
auditctl -a always,exit -F path=/home/lukashubl/ -q /home/lukashubl/dirtest,/home/lukashubl/dirtest/bin -F perm=rwxa
但是当我列出所有规则时auditcl -l,规则并不存在,并且输出也没有错误。
auditd 规则中 -q 标志的正确语法和用法是什么?