Назад | Перейти на главную страницу

auditctl не сохраняет чтения

Итак, у меня есть это правило для auditctl:

-w /home/ec2-user/myfile -p rwa -k key-name

Но когда я бегу

ausearch -f /home/ec2-user/myfile

или проверьте журналы в /var/log/audit/audit.log, я не вижу никаких записей чтения для этого файла, даже когда я запускаю cat, grep, vi, nano для файла (даже открытого для чтения в питон). Если я сделаю изменение записи / добавления, auditd внесет его в журнал. Есть ли другой способ узнать, какой процесс читает из определенного файла?