Я хочу отфильтровать журналы аудита на предмет изменений, внесенных в файл / etc / hosts, с помощью ausearch (audit). Я вижу несколько записей для одного действия изменения для файла в ausearch, например syscall = chmod, syscall = open и т. Д.
Пожалуйста, помогите мне понять точный фильтр, необходимый для подтверждения наличия изменений в файле или его атрибутах.
Вы установили наблюдение за файлами для записи и изменения атрибутов? Согласно
auditctl -a always,exit -F path=/etc/hosts -F perm=wa
С его помощью вы можете увидеть, кто изменил атрибуты файлов или написал в них.
Чтобы увидеть, что это за изменение, требуется какая-то возможность мониторинга содержимого файла.