auditctl 不存储读取数据

auditctl 不存储读取数据

因此我在 auditctl 上有这条规则:

-w /home/ec2-user/myfile -p rwa -k key-name

但当我跑步时

ausearch -f /home/ec2-user/myfile

或者检查 /var/log/audit/audit.log 中的日志,我看不到该文件的任何读取记录,即使我对该文件运行 cat、grep、vi、nano(甚至在 python 中打开进行读取)。但是,如果我执行写入/附加更改,auditd 会记录它。还有其他方法可以知道哪个进程正在读取特定文件吗?

答案1

问题中列出的上述命令在 auditd/selinux 处于活动状态的系统上按预期工作。已在 Fedora 33 上测试。

您的系统上是否安装并运行 auditd?

相关内容