1
使用auditd跟踪文件删除而不取消链接?
我正在创建一个审计规则来跟踪文件和目录的删除。我有一个常常出现在在线搜索中,但我不确定它是否真的有用: -a exit,always -F arch=b32 -S unlink -S rmdir -k deletion 实际上有两个。一个用于32位和64位。 我遇到的问题是我不知道有谁unlink用来删除文件而不是rm。我已经测试过rm想过它可能实际上已经调用unlink但是日志中没有显示任何内容。 我错过了什么吗?有没有办法跟踪文件删除rm?