auditd根本不记录chmod

Question

我运行以下操作，其思想是要记录对home/username目录权限的任何更改：

auditctl -w /home/username -p a

然后我运行以下命令：

尾部-f /var/log/audit.log

我看着变化。我打开另一个终端ssh in，然后在audit.log中看到它发生的样子。我切换到sudoer，我在audit.log中看到了它。当我关闭另一个终端窗口时，我在audit.log中看到它。

但是，如果我对/home/username做了任何操作，我就什么也看不到。我使用绝对路径和相对路径来创建目录，什么都不会发生。我在/home/username中触摸一个新文件，什么都不会发生。如果我把那份文件给我，什么都不会发生。

我在以下地方尝试过一切：监视还是记录目录权限更改？和https://unix.stackexchange.com/questions/196840/how-to-investigate-what-is-modifying-a-directories-permission-on-linux，https://www.cyberciti.biz/tips/linux-audit-files-to-see-who-made-changes-to-a-file.html，甚至https://access.redhat.com/solutions/10107

而且似乎什么都起不到作用。‘.’.‘’.‘.’‘.’‘没有显示任何数据.我在上面提到的每一个参考文献中都使用了每一个主题的变体，而我无法得到任何有用的东西。

奇怪的是，我可以很容易地在ubuntu (它工作很好)，但不是在我的基于流变的例子(AWS亚马逊Linux)。

我不知所措，有人能不能给我一些建议？我可能漏掉了一些明显的东西。

Answer 1

令人尴尬的是，在今天早上花了几个小时试图找出答案之后，我在发帖几分钟后就找到了答案。

Amazon实例在/etc/audit.ules文件中带有一行，需要删除/注释以启用审计。：-a从不执行任务。

因此，如果您不注释这一行，即使auditctl -l显示了规则，它也不会被记录。同一行位于/etc/audit/rules.d.d/audit.Rule.默认值中。

羞愧地垂着头

如果其他AWS用户遇到同样的问题，我将把它放在这里。