当我运行auditctl -l 时我得到:
# auditctl -l
No rules
File system watches not supported
我已经在内核中启用了 AUDITSYSCALL,
# zgrep AUDIT /proc/config.gz
CONFIG_AUDIT_ARCH=y
CONFIG_AUDIT=y
CONFIG_AUDITSYSCALL=y
CONFIG_AUDIT_TREE=y
那么这里可能出了什么问题呢?我使用的auditctl version 1.0.12是内核 2.6.32
答案1
首先了解审计系统如何工作以及如何使用添加系统调用规则auditctl。
这opensuse 文档页面可能会有帮助。