Per quanto ne so, auditd non può essere configurato per catturare il contenuto del file. Probabilmente non lo vorresti comunque a causa di un calo delle prestazioni. Quindi è necessario creare una linea di base a cui confrontare il contenuto modificato e originale.
Se ciò che si sta verificando è un insieme di dati molto piccolo, si può semplicemente usare un backup frequente (o un filesystem istantaneo su SAN o qualcosa del genere) come versione di riferimento e fare le differenze manuali. Sembra, tuttavia, che tu stia cercando di evitare soluzioni manuali.
Quello che sembra che stiate cercando è File Integrity Monitoring, proprio come @Michael menziona. Questi fondamentalmente eseguono una scansione di base e monitorano (un insieme configurabile di) cambiamenti in un insieme definito di dati. Dico configurabile, perché puoi includere o escludere il contenuto del file dalla scansione; è tutto basato sulla politica. Come suggerisce il nome, lo scopo è monitorare l' integrità di un sistema, non necessariamente il contenuto dei dati. In questo modo controllerai generalmente i file di configurazione dell'applicazione e il codice compilato, i file critici del sistema operativo, ecc. Per assicurarti che il sistema non sia stato compromesso. Questi possono essere utilizzati anche per dispositivi di rete e database e applicazioni popolari. I dispositivi di rete sono facili perché l'intera configurazione è in un singolo file (o comunque un ingombro ridotto).
Usiamo Tripwire nel mio negozio, dove abbiamo una grande quantità di conformità da gestire, ma ce ne sono altri: link
Le soluzioni FIM generalmente invieranno avvisi e report per aiutare ad automatizzare la parte di monitoraggio. Avranno anche compatibilità o partnership con altre soluzioni da integrare con le soluzioni SIEM, anche Splunk !. Se hai molto monitoraggio da fare, passerai tutto il tempo a esaminare i registri. Quindi, in sostanza, "la sicurezza è difficile" ;-) Queste cose sono scalabili e multipiattaforma e sono disponibili in forme agent e agentless. Probabilmente non sei l'unico con tali bisogni nella tua organizzazione. Qualsiasi spesa (e potrebbe essere inferiore a quanto penseresti) può probabilmente essere condivisa per garantire più della semplice applicazione.