Я пытаюсь настроить приведенное ниже правило в /etc/audit/audit.rules
-a always,exit -S unlink -S unlinkat -S rename -S renameat -F auid>= 1000 -F auid!=4294967295 -k delete
что не сработало, поэтому я попытался выполнить его прямо из командной строки так:
auditctl -a always,exit -S unlink -S unlinkat -S rename -S renameat -F auid>= 1000 -F auid!=4294967295 -k delete
Но я получаю следующую ошибку: -F отсутствует операция для auid
Может кто-нибудь посоветовать мне, как решить эту проблему?