======新信息=====
在我的 RHEL4 系统上,auditctl 仅在通过命令安装某些内容时无法监视mount。卸载时同一目录可以正常工作。审计版本为1.0.16。无论是否安装,在审计版本 2.4.5 的 CentOS6.7 上一切都按预期运行。这可能是什么原因造成的?
这是 RHEL4 上的auditd.conf 文件。
这是CentOS6.7上的auditd.conf文件。
这是两个系统上的audit.rules 文件。
======旧信息======
在我的 RHEL4 系统上,如果我调用auditctl -w /mnt/foo -k mykey该目录并对其进行修改,除了已插入监视之外,我的audit.log 文件中不会显示任何内容。绝对没有错别字。如果我输入auditctl -l,我可以看到正在观看的正确内容。奇怪的是,如果我审核监视下面的目录,例如auditctl -w /mnt/foo/testdir -k mykey2,效果很好。权限状态为/mnt/foo,drwxrwxrwx/mnt/foo/testdir 权限状态为drwxr-xr-x。
更奇怪的是,在我的 CentOS6.7 系统上,做同样的事情,auditctl -w /mnt/foo -k mykey工作正常。
有什么建议为什么会发生这种情况吗?