Я пытаюсь выяснить, какие процессы удаляют файлы из определенного каталога, поэтому я хочу настроить и запустить auditd
в моей системе.
Я установил следующее правило в audit.rules
:
-w S unlink -S truncate -S ftruncate -a exit,always -k cache_deletion -w /home/myfolder/cache
Затем я набираю это, чтобы запустить демон аудита:
auditctl -R /etc/audit/audit.rules -e 1
Но я получаю это сообщение об ошибке:
Error - nested rule files not supported
Кто-нибудь знает, что я здесь делаю не так, и как я могу это решить?
Кроме того, что мне нужно сделать, чтобы демон запускался при запуске?
Это правило пытается определить два пути к аудиту, -w S
и -w /home/myfolder/cache
. Вы можете использовать только -p and -k
варианты с -w
слишком.
Попробуйте следующее правило:
-a exit,always -S unlinkat -S truncate -S ftruncate -F dir=/home/myfolder/cache -F key=cache_deletion
... или для простоты:
-w /home/myfolder/cache -k cache_deletion -p wa
Чтобы запустить службу при запуске:
/sbin/chkconfig auditd on
В конце концов, я отказался от попыток сделать это, потому что смог идентифицировать (другими способами) некоторый код, вызывающий удаление.