Então, eu tenho essa regra em auditctl:
-w /home/ec2-user/myfile -p rwa -k key-name
Mas quando eu corro
ausearch -f /home/ec2-user/myfile
ou verifique os logs em /var/log/audit/audit.log, não consigo ver nenhum registro de leitura para esse arquivo, mesmo quando estou executando cat, grep, vi, nano, contra o arquivo (mesmo aberto para leitura em python). Se eu fizer uma alteração de gravação / acréscimo, o comando auditd irá registrá-la. Existe alguma outra maneira de saber qual processo está lendo de um determinado arquivo?
Tags permissions linux audit auditd