сабж

дайте строку, например в каталоге /home

а, как например врубить аудит для отдельного каталога ? а не для всей системы ?

-a exit,always -F arch=b64 -S futimesat
-a exit,always -F arch=b64 -S unlinkat
-a exit,always -F arch=b64 -S fchownat
-a exit,always -F arch=b64 -S openat
-a exit,always -F arch=b64 -S exit
-a exit,always -F arch=b64 -S dup2
-a exit,always -F arch=b64 -S kill
-a exit,always -F arch=b64 -S rename
-a exit,always -F arch=b64 -S unlink
-a exit,always -F arch=b64 -S symlinkat
-a exit,always -F arch=b64 -S mount
-a exit,always -F arch=b64 -S fchmod
-a exit,always -F arch=b64 -S mknodat
-a exit,always -F arch=b64 -S execve
-a exit,always -F arch=b64 -S chown
-a exit,always -F arch=b64 -S open
-a exit,always -F arch=b64 -S exit_group
-a exit,always -F arch=b64 -S utime
-a exit,always -F arch=b64 -S adjtimex
-a exit,always -F arch=b64 -S renameat
-a exit,always -F arch=b64 -S close
-a exit,always -F arch=b64 -S creat
-a exit,always -F arch=b64 -S symlink
-a exit,always -F arch=b64 -S fchown
-a exit,always -F arch=b64 -S utimes
-a exit,always -F arch=b64 -S link
-a exit,always -F arch=b64 -S settimeofday
-a exit,always -F arch=b64 -S fchmodat
-a exit,always -F arch=b64 -S lchown
-a exit,always -F arch=b64 -S umount2
-a exit,always -F arch=b64 -S chmod
-a exit,always -F arch=b64 -S linkat
-a exit,always -F arch=b64 -S fork
-a exit,always -F arch=b64 -S mknod
-a exit,always -F arch=b64 -S vfork
-a exit,always -F arch=b64 -S vfork

vkle, например путь указать ?

Basil A. SidorovvkleА в каких то системах это вообще можно сделать?Винда + ntfs.

а в linux еще проще, разобрался как сделать, там уже и утилиты, правда я бы не совсем сказал что они удобные, но вполне достаточно, чтобы отследить например - создания, изменения и доступ к файлам, то что нужно, нормальной доки по auditd на русском к сожалению нету на просторах интернета ((