Благодарим Стива @ Редхата, который ответил на мой вопрос в списке рассылки linux-audit :
Часы - это действительно скрытое правило системного вызова. Если вы поместите часы в каталог, audctl превратит его в:
-a exit,always -F dir=/home/raven/public_html -F perm=war -F key=raven-pubhtmlwatch
Поле
-F
dir является рекурсивным. Однако, если вы просто хотите просмотреть записи каталога, вы можете изменить это на-F
путь.-a exit,always -F path=/home/raven/public_html -F perm=war -F key=raven-pubhtmlwatch
Это не является рекурсивным и просто наблюдает за индексом, который занимает каталог.
Я должен был добавить правило вручную, а /etc/audit/audit.rules
затем перезапустить AuditD с
/etc/init.d/auditd restart
Теперь правила добавлены, и это прекрасно работает!