Auditcon на 5.1 юзаю давно. Есть каталог с ограниченным доступом и желательно знать, кто что там делает.
В опции audit by file/directory давим F10 (и F1
) на директории, за которой надо следить.
Потом поднимаемся вверх и выбираем audit by event -> audit by file events. А там выбираем события, которые надо протоколировать. У меня - создание/удаление каталогов, чтение/запись/создание/удаление/перемещение файла.
В Audit options configuration нажимаем F1 на каждом пункте и внимательно читаем. Если прочитали невнимательно, то получите сообщение о переполнении файла аудитинга и отлуп при попытке что - либо сделать в каталоге, за которым ведётся наблюдение.
Собственно, и всё. Работает уже не один год, логи ведутся месяца за три.
В.