我对 auditd 规则有疑问。我想审核/opt/zimbra/mailboxd/webapps/目录,但不审核:zimbraAdmin/WEB-INF/和zimlet/WEB-INF/子zimbra/WEB-INF/文件夹。
猫/etc/audit/audit.rules:
## This file is automatically generated from /etc/audit/rules.d
-D
-b 8192
-f 1
-a never,exclude -F dir=/opt/zimbra/mailboxd/webapps/zimbraAdmin/WEB-INF/ -k ex_1
-a never,exclude -F dir=/opt/zimbra/mailboxd/webapps/zimlet/WEB-INF/ -k ex_2
-a never,exclude -F dir=/opt/zimbra/mailboxd/webapps/zimbra/WEB-INF/ -k ex_3
-w /opt/zimbra/mailboxd/webapps/ -p w -k zimbra_jsp
以上方法不起作用。auditctl -l显示“无规则”。当我尝试单独运行该规则(从控制台)时,排除规则会退出并显示错误:
auditctl -a never,exclude -F dir=/opt/zimbra/mailboxd/webapps/zimbraAdmin/WEB-INF/ -k ex_1
Only msgtype, *uid, *gid, pid, and subj* fields can be used with exclude filter
为什么?