Meu banco de dados não está sendo replicado e a única pista no log de erros é Operation Not Permitted, o que suponho é uma falha na permissão de acesso ao arquivo no doador ou no joiner. Existe algum arquivo que eu possa tailver exatamente quais arquivos o usuário/processo está tentando ler/gravar/executar?
Responder1
O auditd(8)daemon fornece a funcionalidade solicitada em sua pergunta. Ele está configurado no /etc/audit/auditd.confarquivo e sua sintaxe é descrita na auditd.conf(5)página de manual.
Você precisa instalar e habilitar o daemon e configurá-lo /etc/audit/audit.rulespara auditar os eventos que considera relevantes. E exemplo da audit.rules(7)página de manual:
-a always,exit -F arch=b32 -S open -S openat -F exit=-EACCES -k access
-a always,exit -F arch=b32 -S open -S openat -F exit=-EPERM -k access
-a always,exit -F arch=b64 -S open -S openat -F exit=-EACCES -k access
-a always,exit -F arch=b64 -S open -S openat -F exit=-EPERM -k access
Leia a auditctl(8)página de manual para obter uma explicação de todas as opções usadas nos exemplos.
Para análises/relatórios posteriores, você pode usar as ferramentas ausearch(8)e aureport(8).