auditd – dir 不能与排除过滤器一起使用吗?

auditd – dir 不能与排除过滤器一起使用吗?

我对 auditd 规则有疑问。我想审核/opt/zimbra/mailboxd/webapps/目录,但不审核:zimbraAdmin/WEB-INF/zimlet/WEB-INF/zimbra/WEB-INF/文件夹。

猫/etc/audit/audit.rules:

## This file is automatically generated from /etc/audit/rules.d
-D
-b 8192
-f 1
-a never,exclude -F dir=/opt/zimbra/mailboxd/webapps/zimbraAdmin/WEB-INF/ -k ex_1
-a never,exclude -F dir=/opt/zimbra/mailboxd/webapps/zimlet/WEB-INF/ -k ex_2
-a never,exclude -F dir=/opt/zimbra/mailboxd/webapps/zimbra/WEB-INF/ -k ex_3
-w /opt/zimbra/mailboxd/webapps/ -p w -k zimbra_jsp

以上方法不起作用。auditctl -l显示“无规则”。当我尝试单独运行该规则(从控制台)时,排除规则会退出并显示错误:

auditctl -a never,exclude -F dir=/opt/zimbra/mailboxd/webapps/zimbraAdmin/WEB-INF/ -k ex_1

Only msgtype, *uid, *gid, pid, and subj* fields can be used with exclude filter

为什么?

相关内容