Eu li o manual, cheguei à mesma conclusão para a configuração e obtive o mesmo resultado para o registro. Experimentando, descobri que o objetivo pode ser alcançado com a seguinte configuração.
auditctl -w /etc/my_path_to_monitor -p warx -k my_rule
Para oferecer um recurso adicional para audit
, caso você pretenda configurar ainda mais o audit
, o Red Hat O Guia de Implementação Técnica de Segurança (STIG) produzido pela Agência de Sistemas de Informação de Defesa (DISA) tem uma excelente linha de base das regras audit
. Eles ainda são aplicáveis principalmente a qualquer distribuição Linux que você esteja usando, talvez com um pouco de interpolação para corresponder ao sistema com o qual você está trabalhando.