auditd ne ferme pas correctement les actions du file

J'ai une machine Linux où j'ai configuré une règle d'audit pour surveiller tout type de modification sur un file. C'est la règle que j'ai placée dans le file /etc/audit/audit.rules:

-w /home/ec2-user/splunk-test/secret-file -p rwxa -k log_everything 

Ce file est sous la propriété de l'user éc2, et j'ai créé un autre user appelé user1. J'essaie d'accéder à un file secret avec cet user1, qui est une permission refusée par défaut (prévue). Mais rien n'est enregistré dans le file journal audit. J'ai vérifié la conservation de 2 windows, en exécutant simultanément la fonction vi comme user1 et sur l'autre window, en regardant les modifications apscopes au file journal.

J'ai essayé "vi" en tant qu'user root, la même chose a été enregistrée dans les journaux auditd. Mais lorsque j'essaie de l'user1, rien n'a été enregistré. (FYI, j'ai les permissions de ce file sous 660) – NO READ READMISSION TO WORLD.

Est-ce que je manque quelque chose ici (peut-être dans la configuration auditd), pour l'logging correct de toutes les tentatives faites à ce file? Quelqu'un peut-il m'aider au plus tôt?

Contestation totale:

Vous êtes refusé car /home/ec2-user/splunk-test ne définit pas les permissions de passage pour user1 ou /home/ec2-user ne définit pas les permissions de passage pour user1 .

Non parce que /home/ec2-user/splunk-test/secret-file n'est pas lisible pour user1 . En tant que tel, vous n'atteignez jamais le file mais ne parviennent pas à accéder à l'un de ses directorys parents sur le path.

Par la suite, il n'y a rien à signaler sur la vérification du file car le file n'a jamais été atteint.