Hi;<br><br>Ok. For example watch /root directory and subdirectories:<br><br>I can only -> Scan /root directory recursive(find /root/ -type d); and add to audit.rules file all result lines.<br><br>This technic true?<br><br>
Best Regards<br><br><br><div class="gmail_quote">On Tue, Jul 20, 2010 at 3:24 PM, Steve Grubb <span dir="ltr"><<a href="mailto:sgrubb@redhat.com">sgrubb@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
<div><div></div><div class="h5">On Tuesday, July 20, 2010 08:04:02 am List Quest wrote:<br>
> I trying RHEL 4.x series auditing.<br>
><br>
> Example:<br>
> Audit version: audit-1.0.15-3.EL4<br>
><br>
> -w /root -p w<br>
><br>
> config line added to audit.rules; but this config watch only "/root"<br>
> directory writes. Do not watch "/root/Desktop", "/root/test", etc...<br>
><br>
> I can't recusive directory watch; like audit version audit-1.7.17-3<br>
><br>
> How this?<br>
<br>
</div></div>That is correct. The first iteration of the audit system has some limitations<br>
that were fixed over time. For example, another thing you cannot do on the<br>
older kernels is add a key to syscall rules.<br>
<font color="#888888"><br>
-Steve<br>
</font></blockquote></div><br>