roles/audit/templates/50-file-changes.rules.j2

   1 ## file changes
   2 -w /usr/local/bin/hostcli -p aw -k hostcli
   3 -w /usr/bin/openstack -p aw -k openstackcli
   4 -w /boot/ -p rwxa -k dir_boot
   5 -w /opt/ -p aw -k dir_opt
   6 -w /etc/ -p rwa -k dir_etc
   7 -w /usr/bin -p rwxa -k usr-bin
   8 -w /usr/sbin -p rwxa -k usr-sbin
   9 -w /usr/libexec -p aw -k usr-libexex
  10 -w /usr/local -p awx -k usr-local
  11 -w /mnt/symptomreport/ -p awr -k symptomreport
  12 -w /usr/lib -p aw -k usr-lib
  13 -w /usr/lib64 -p aw -k usr-lib64
  14 -w /var/log/audit/ -k audit-logs
  15 -w /var/log/sudo.log -p wa -k actions
  16 {% if ansible_architecture not in ['aarch64'] %}
  17 -a always,exit -F arch=b64 -S epoll_wait_old -F key=64bit_epoll_wait_old
  18 {% endif %}
  19 -a always,exit -F arch=b32 -S inotify_add_watch -F key=32bit_inotify_add_watch
  20 -a always,exit -F arch=b64 -S inotify_add_watch -F key=64bit_inotify_add_watch
  21 {% if ansible_architecture not in ['aarch64'] %}
  22 -a always,exit -F arch=b32 -S inotify_init -F key=32bit_inotify_init
  23 -a always,exit -F arch=b64 -S inotify_init -F key=64bit_inotify_init
  24 {% endif %}
  25 -a always,exit -F arch=b32 -S inotify_init1 -F key=32bit_inotify_init1
  26 -a always,exit -F arch=b64 -S inotify_init1 -F key=64bit_inotify_init1
  27 -a always,exit -F arch=b32 -S inotify_rm_watch -F key=32bit_inotify_rm_watch
  28 -a always,exit -F arch=b64 -S inotify_rm_watch -F key=64bit_inotify_rm_watch