Estou executando o CentOS8 e tenho 4 grupos principais em meu sistema, estou tentando criar uma regra que filtre a modificação de arquivos por grupo. Por exemplo, se os operadores do grupo alterarem minha configuração do php, eu quero que quando eu pesquisar usando o ausearch ele me digaqual arquivo foi modificadoeo que eles usaram para modificá-lo. Atualmente estou usando esta regra para verificar alterações no arquivo:
-a entry,always -S all -F gid=6450 -k operators #testing for all syscalls
-a entry,always -S open -F gid=6450 -k operators #whenever the group opens a file
Onde: 6450 é o gid do meu grupo de Operadores. No entanto, esta regra retorna apenas:
type=CONFIG_CHANGE msg=audit(2020-04-06 08:24:07.497:274): auid=unset ses=unset subj=system_u:system_r:unconfined_service_t:s0 op=add_rule key=operators list=exit res=yes
Existe alguma maneira de adicionar qual arquivo foi modificado e o que é usado para modificá-lo? Ou pelo menos me diga qual membro do grupo mudou. Obrigado.