Molto come la ricorsione, per capire la revisione devi prima capire la verifica. Auditd è il front-end di un modulo del kernel che intercetta / controlla le chiamate di sistema e le relazioni su di esse. Vale a dire, l'opzione -w
non esegue continuamente un ls
, md5sum
, o simili sulla destinazione, istruisce il modulo del kernel a segnalare i tentativi di effettuare chiamate di accesso ai file, come open () o creat (), sul bersaglio. Traducendo queste informazioni nella tua domanda, ciò significa che auditd non può rilevare le modifiche apportate dagli host remoti in questo modo. Queste chiamate di sistema si verificano sul sistema remoto.
Per eseguire il tipo di monitoraggio desiderato, è necessario configurare auditd sugli host remoti per monitorare localmente il mount nfs. Quello che dovresti fare è registrare tutti gli host che eseguono auditd su un host di log centrale, usando qualcosa come audisp-remote. Quindi i registri possono essere più facilmente ricercati e correlati.