Auditctlグループのカスタムルール

Auditctlグループのカスタムルール

CentOS8を実行しており、システムに4つの基本グループがあり、ファイルの変更をグループごとにフィルタリングするルールを作成しようとしています。たとえば、グループオペレータが自分のPHP設定を変更した場合は、ausearchを使用して検索するときに通知したいと思います。どのファイルが変更されたかそしてそれを修正するために何を使用しましたか?。現在、私はこの規則を使用してファイルの変更を確認しています。

-a entry,always -S all -F gid=6450 -k operators #testing for all syscalls
-a entry,always -S open -F gid=6450 -k operators #whenever the group opens a file

場所:6450は私のOperatorsグループのGIDです。ただし、ルールは次のように返します。

type=CONFIG_CHANGE msg=audit(2020-04-06 08:24:07.497:274) : auid=unset ses=unset subj=system_u:system_r:unconfined_service_t:s0 op=add_rule key=operators list=exit

変更されたファイルと変更に使用されたファイルを追加する方法はありますか?または、少なくともどのグループのメンバーがそれを変更したかを教えてください。ありがとうございます。

関連情報