Utilisation du sous-système d'audit pour une vérification de sécurité rapide
Pour surveiller un programme suspect unique sans configurer le sous-système d'audit, la commande watch peut être utilisée. Elle enregistre les événements demandés ou tous les événements générés par le programme spécifié.
Par exemple, pour afficher tous les événements FILE_Open lors de l'exécution de vi /etc/hosts, entrez ce qui suit:
watch -eFILE_Open -o /tmp/vi.watch vi /etc/hostsLe fichier /tmp/vi.watch affiche tous les événements FILE_Open pour la session de l'éditeur.