在 Red Hat Linux 上,我可以使用以下命令指定要记录审计日志的文件:
auditctl -a exit,always -F path=/tmp/foo.txt -F perm=war
我不知道如何在 FreeBSD 上做类似的事情。我发现记录文件审计日志的唯一方法是添加将标志fr添加到我的/etc/security/audit_control文件中。
不幸的是,这种方式不允许我指定文件。
更新 1:
我问过trustbsd-讨论邮件列表。您可以查看此处的电子邮件。我还没有收到任何答复。