Al igual que la recursión, para entender auditd, primero debes entender auditd. Auditd es la interfaz de un módulo del kernel que intercepta / monitorea las llamadas al sistema e informa sobre ellas. Es decir, la opción -w
no realiza continuamente un ls
, md5sum
, o similar en el destino, le indica al módulo del kernel que informe sobre los intentos de realizar llamadas de acceso a archivos, como abrir () o creat (), en el target. Al traducir esta información a su pregunta, esto significa que auditd no puede detectar los cambios que realizan los hosts remotos de esta manera. Esas llamadas al sistema están ocurriendo en el sistema remoto.
Para realizar el tipo de monitoreo que desea, deberá configurar auditd en los hosts remotos para monitorear el montaje nfs localmente. Lo que debe hacer entonces es registrar todos los hosts que ejecutan auditd en un host de registro central, utilizando algo como audisp-remote. Luego, los registros se pueden buscar y correlacionar más fácilmente.