我有一个基于 PHP/Apache2 的 Web 服务,我想审核它所做的每个文件 IO 操作。
我按照推荐使用auditd这里。
我这样设置audit.d
## enable ruleset
-e 1
## limit rate
-r 1000
## monitor
-w /var/www/html/my/path/ -p rwxa -k toplevel_my_app
auditd.conf 保留为默认值。
每当我用任何程序触摸任何内容时,它都会按预期/var/www/html/my/path/登录。/var/www/html/my/path/但是当网络服务执行时,不会记录任何内容。
当我制作一个简单的 PHP 脚本来写入文件夹中的文件并从 CLI 调用它时,该操作会被记录下来。当我通过 apache/localhost 调用相同的脚本时,它不会被记录。
我究竟做错了什么?
我使用 Debian 11 (Debian 5.10.149-2) 并使用 PHP 8.1.13。