No final, desisti de tentar fazer isso porque consegui identificar (através de outros meios) algum código que fazia com que as exclusões ocorressem.
Estou tentando descobrir quais processos estão excluindo arquivos de um diretório específico, portanto, quero configurar e executar auditd no meu sistema.
Eu configurei a seguinte regra em audit.rules :
-w S unlink -S truncate -S ftruncate -a exit,always -k cache_deletion -w /home/myfolder/cache
Então eu digito isso para iniciar o daemon de auditoria:
auditctl -R /etc/audit/audit.rules -e 1
Mas recebo esta mensagem de erro:
Error - nested rule files not supported
Alguém sabe o que estou fazendo de errado aqui e como posso resolver isso?
Além disso, o que preciso fazer para colocar o daemon na inicialização?
Essa regra está tentando definir dois caminhos para auditoria, -w S e -w /home/myfolder/cache . Você só pode usar -p and -k opções com -w também.
Experimente a seguinte regra:
-a exit,always -S unlinkat -S truncate -S ftruncate -F dir=/home/myfolder/cache -F key=cache_deletion
... ou para simplificar:
-w /home/myfolder/cache -k cache_deletion -p wa
Para iniciar o serviço na inicialização:
/sbin/chkconfig auditd on