<div>Hello,</div><div><br></div><div>I'm trying to figure out which processes are deleting files from a specific directory, so I want to set up and run auditd on my system.</div><div><br></div><div>I've set up the following (only) rule in audit.rules:</div>
<div><br></div><div>-a exit,always -F arch=x86_64 -S unlinkat -S truncate -S ftruncate -F dir=/home/myfolder/cache -F key=cache_deletion</div><div><br></div><div>Then I type this to start the audit daemon:</div><div><br></div>
<div>auditctl -R /etc/audit/audit.rules -e 1</div><div><br></div><div>But I get this error message:</div><div><br></div><div>Error - nested rule files not supported</div><div><br></div><div>Does anyone know what I am doing wrong here, and how I can resolve this?</div>
<div><br></div><div>Tola</div>