regra de auditoria que corresponde apenas a arquivos ou diretórios recém-criados

0

Eu quero que auditd registre apenas os arquivos ou diretórios recém-criados. A auditoria tem as informações necessárias no campo nametype=CREATE , mas como posso filtrar esse campo?

Eu sei que é possível pós-processar os arquivos de log, mas por razões de eficiência eu gostaria de não escrever os outros eventos no log em primeiro lugar.

    
por bennofs 27.10.2018 / 15:15

0 respostas