Eu quero que auditd registre apenas os arquivos ou diretórios recém-criados. A auditoria tem as informações necessárias no campo nametype=CREATE , mas como posso filtrar esse campo?
Eu sei que é possível pós-processar os arquivos de log, mas por razões de eficiência eu gostaria de não escrever os outros eventos no log em primeiro lugar.
Tags monitoring linux-audit