Eu tenho a seguinte configuração no meu sistema
OS : ubuntu 14.04
Kernel version : 3.13.0-32-generic
Eu tenho as seguintes regras no meu arquivo audit.rules .
-w /etc/ -p wa -k system_configuration_change
-w /usr/bin -p wa -k system_binary_change
-w /usr/sbin -p wa -k system_binary_change
-w /bin/ -p wa -k system_binary_change
agora se eu criar um arquivo dentro do diretório /etc/ ,
touch myfile
chmod 666 myfile
echo "Something!!!" > myfile
Aqui, iniciei três eventos, mas audit não conseguiu capturar o último evento de gravação de conteúdo no arquivo.
$ egrep --only-matching 'node=.*$' /log-collector/audit.log | ausearch -f myfile -ui 0 -c touch
Isso está dando saída esperada, mas
$ egrep --only-matching 'node=.*$' /log-collector/audit.log | ausearch -f myfile -ui 0 -c chmod
Isso está dando saída esperada, mas
$egrep --only-matching 'node=.*$' /log-collector/audit.log | ausearch -f myfile -ui 0 -c bash
sem correspondências
Este mesmo comando está funcionando bem em ubuntu 12.04 com a versão do kernel do 3.2.0-76-generic.
Aqui estou tentando mudar o kernel, mas ele está dizendo que o 3.2.0-76-generic não é compatível com o ubuntu 14.04 de acordo com link .
Por favor me ajude.
Atenciosamente, BhavaniPrasad