Я использую CentOS8 и у меня есть 4 основные группы в моей системе, я пытаюсь создать правило, которое фильтрует изменение файла по группе. Например, если операторы группы изменили мою конфигурацию php, я хочу, чтобы при поиске с помощью ausearch он мне сообщалкакой файл был измененичто они использовали для его модификации. В настоящее время я использую это правило для проверки изменений файлов:
-a entry,always -S all -F gid=6450 -k operators #testing for all syscalls
-a entry,always -S open -F gid=6450 -k operators #whenever the group opens a file
Где: 6450 — это gid для моей группы «Операторы». Однако это правило возвращает только:
тип=CONFIG_CHANGE сообщение=audit(2020-04-06 08:24:07.497:274) : auid=unset ses=unset subj=system_u:system_r:unconfined_service_t:s0 op=add_rule ключ=список операторов=выйти res=да
Есть ли способ добавить, какой файл изменен и что используется для его изменения? Или хотя бы сказать, какой член группы его изменил. Спасибо.