USBを抜いて再接続すると、AudiはUSBマウントポイントの監視を停止します。

ファイルの読み取り、書き込み、フォルダの作成など、USBアクティビティのスクリプト監視を行っています。 USBデバイスが接続されると、コードベースは自動的にマウントポイントを次の位置に設定し、USBが取り外されるとこのマウントポイントを削除します。/media/usb/mounted_usb_name

auditd次のルールを使用して視聴するように設定しました。/media/usb

-w /media/usb -p r -k USB_r
-w /media/usb -p w -k USB_w
-w /media/usb -p a -k USB_a
-w /media/usb -p x -k USB_x

auditd...ログからさまざまな種類のアクティビティを識別できます。

これはほとんどうまく機能します。マウントされたUSBロケーションでさまざまな操作のログアクティビティを表示できます。ただし、USBを削除して再挿入すると、コードベースによってマウントディレクトリが削除され、再生成され、ログに報告されるすべてのauditdアクティビティが停止しました。

作成された2つのマウントポイント間に所有者または権限に違いはありません。また、から直接フォルダを作成、/media/usb削除、再作成してみましたが、auditdそのフォルダが存在するたびに追跡するのに問題はありません。システムログを確認しましたが、私が見つけた唯一の手がかりは次の行だけでした。

Volume was not properly unmounted. Some data may be corrupted. Please run fsck.

...USBが接続されると発生します。入れる、削除する代わりに。

2台の異なるコンピュータで複数のUSBを試してみました。行動は一貫しています。問題を解決する唯一の方法は、次を実行することです。

systemctl restart auditd

...これは私たちの目標のための良い選択ではありません。

どんな助けにも感謝します:)