我试图找出哪些进程正在从特定的目录中删除文件,所以我想设置和运行我的系统上的auditd 。
我在audit.rules设置了以下规则:
-w S unlink -S truncate -S ftruncate -a exit,always -k cache_deletion -w /home/myfolder/cache
然后我input这个来启动审计守护进程:
auditctl -R /etc/audit/audit.rules -e 1
但是我得到这个错误消息:
Error - nested rule files not supported
有谁知道我在这里做错了什么,我怎么能解决这个问题?
另外,我需要做些什么才能让守护进程在启动时运行?
该规则试图定义两条审计path, -w S和-w /home/myfolder/cache 。 你只能用-w -p and -k选项。
尝试以下规则:
-a exit,always -S unlinkat -S truncate -S ftruncate -F dir=/home/myfolder/cache -F key=cache_deletion
为了简单起见:
-w /home/myfolder/cache -k cache_deletion -p wa
在启动时启动服务:
/sbin/chkconfig auditd on
最后,我放弃了试图这样做,因为我能够(通过其他方式)确定一些导致删除的代码。