我正在尝试设置一些审计规则,但出现错误 -F 缺少 auid 操作

我正在尝试设置一些审计规则,但出现错误 -F 缺少 auid 操作

我正在尝试在 /etc/audit/audit.rules 中设置以下规则

-a always,exit -S unlink -S unlinkat -S rename -S renameat -F auid>= 1000 -F auid!=4294967295 -k delete

这不起作用所以我尝试直接从命令行执行它:

auditctl -a always,exit -S unlink -S unlinkat -S rename -S renameat -F auid>= 1000 -F auid!=4294967295 -k delete

但我收到以下错误:-F 缺少 auid 操作

有人可以指导我如何解决这个问题吗?

答案1

执行上述行会导致您的 shell 将大于号>解释为重定向运算符,这大概就是bash。因此,操作auid缺失,因为后面的所有内容>都不再是命令的一部分。您可能会=在当前目录中看到一个名为的文件。

为了正确执行你必须逃避,>例如像这样:

auditctl -a always,exit -S unlink -S unlinkat -S rename -S renameat -F auid\>= 1000 -F auid!=4294967295 -k delete

或者像这样:

auditctl -a always,exit -S unlink -S unlinkat -S rename -S renameat -F "auid>=1000" -F auid!=4294967295 -k delete

相关内容