Eu tenho auditd instalado no Ubuntu 12.04 de 64 bits para rastrear algumas exclusões inesperadas ( boa discussão sobre o auditd ). Esta é a minha regra (excluir tags com a palavra-chave deletes ):
-a exit,always -F arch=b64 -S unlink -S rmdir -k deletes
auditctl -l mostra que está configurado:
LIST_RULES: exit,always arch=3221225534 (0xc000003e) key=deletes syscall=rmdir,unlink
Isso funciona perfeitamente:
# mkdir xyx
# rmdir xyz
# ausearch -k deletes|grep 'xyz'
type=PATH msg=audit(1406147794.737:1880): item=1 name="xyz" inode=12386307 dev=08:04 mode=040755 ouid=0 ogid=0 rdev=00:00
mas isso não acontece:
# touch xyx
# rm xyx
# ausearch -k deletes|grep 'xyz'
Eu posso ver que todos os tipos de exclusão são registrados. O que estou perdendo?
Eu estava enfrentando o mesmo problema, encontrei a solução. Você precisará usar unlinkat como o rastreamento de chamada do sistema:
-a exit,always -F arch=b64 -S unlink -S rmdir -S unlinkat
porque rm não está usando unlink . Obrigado theillien para o resposta postada aqui no SuperUser :
Se isso
-a exit,always -F arch=b64 -S unlink -S rmdir -k deletes
é o seu comando onde você diz para registrar rm ? Eu diria que ele registraria rmdir e não registraria rm (como mostrado pelos seus 2 exemplos, parece ser o caso).
Olhando para o lay-out da auditoria, presumo que você precisa de algo como:
-a exit,always -F arch=b64 -S unlink -S rm -S rmdir -k delete