auditctl 在非常旧的系统上报告“不支持文件系统监视”

auditctl 在非常旧的系统上报告“不支持文件系统监视”

当我运行auditctl -l 时我得到:

# auditctl -l
No rules
File system watches not supported

我已经在内核中启用了 AUDITSYSCALL,

# zgrep AUDIT /proc/config.gz
CONFIG_AUDIT_ARCH=y
CONFIG_AUDIT=y
CONFIG_AUDITSYSCALL=y
CONFIG_AUDIT_TREE=y

那么这里可能出了什么问题呢?我使用的auditctl version 1.0.12是内核 2.6.32

答案1

首先了解审计系统如何工作以及如何使用添加系统调用规则auditctl

opensuse 文档页面可能会有帮助。

相关内容