似乎有两种方法可以指定 auditd 规则来监视给定的文件或文件夹。第一种使用-a
-a exit,always -F dir=/path/to/file -F perm=wa -F success=1
第二种用途-w
-w /path/to/file -p wa
除了其中一个明显更短之外,这两个似乎具有相同的效果。它们之间是否有一些微妙的差异我需要了解?
auditd:watch 和 syscall 之间的区别
似乎有两种方法可以指定 auditd 规则来监视给定的文件或文件夹。第一种使用-a
-a exit,always -F dir=/path/to/file -F perm=wa -F success=1
第二种用途-w
-w /path/to/file -p wa
除了其中一个明显更短之外,这两个似乎具有相同的效果。它们之间是否有一些微妙的差异我需要了解?