auditctl não armazena leituras

1

Então, eu tenho essa regra em auditctl:

-w /home/ec2-user/myfile -p rwa -k key-name

Mas quando eu corro

ausearch -f /home/ec2-user/myfile

ou verifique os logs em /var/log/audit/audit.log, não consigo ver nenhum registro de leitura para esse arquivo, mesmo quando estou executando cat, grep, vi, nano, contra o arquivo (mesmo aberto para leitura em python). Se eu fizer uma alteração de gravação / acréscimo, o comando auditd irá registrá-la. Existe alguma outra maneira de saber qual processo está lendo de um determinado arquivo?

    
por Simon Ernesto Cardenas Zarate 12.05.2018 / 01:51

0 respostas