Итак, у меня есть это правило для auditctl:
-w /home/ec2-user/myfile -p rwa -k key-name
Но когда я бегу
ausearch -f /home/ec2-user/myfile
или проверьте журналы в /var/log/audit/audit.log, я не вижу никаких записей чтения для этого файла, даже когда я запускаю cat, grep, vi, nano для файла (даже открытого для чтения в питон). Если я сделаю изменение записи / добавления, auditd внесет его в журнал. Есть ли другой способ узнать, какой процесс читает из определенного файла?