No Red Hat Linux, eu posso especificar o arquivo para o qual desejo registrar registros de auditoria com este comando:
auditctl -a exit,always -F path=/tmp/foo.txt -F perm=war
Eu não consigo descobrir como fazer algo similar no FreeBSD. A única maneira que encontrei para registrar registros de auditoria para arquivos é adicionar o sinal fr
ao meu arquivo /etc/security/audit_control
.
Infelizmente, isso não me permite especificar o arquivo.
Eu perguntei sobre isso na lista de discussão trustedbsd-discuss . Você pode ver o e-mail aqui . Eu não recebi nenhuma resposta ainda.