我想跟踪GNU / Linux盒子上的重要系统更改,例如禁用PaX,启用流量转发,ICMP重定向,更改printk详细级别等等。通常,所有这些操作都基于对/ proc / sys / kernel / *文件的更改。到目前为止,我还没有找到任何审计procfs的方法。也许设置使用/ proc / sys / kernel / *值作为第一个参数(a0)的'write'系统调用的监视规则将是可行的方法...只是想知道。但是,在a0-3审计规则-F参数中无法使用通配符,因此在最坏的情况下,我必须为该目录中的每个重要文件创建单独的规则。我要感谢任何关于这个问题的提示,提前谢谢。