如何確定哪些程序正在從特定目錄中刪除文件？

我試圖找出哪些程序正在從特定目錄中刪除文件，所以我想auditd在我的系統上設置和執行。

我在中設置了以下規則audit.rules：

-w S unlink -S truncate -S ftruncate -a exit,always -k cache_deletion -w /home/myfolder/cache

然後我輸入這個來啟動審計守護程序：

auditctl -R /etc/audit/audit.rules -e 1

但我收到此錯誤消息：

Error - nested rule files not supported

有誰知道我在這裡做錯了什麼，以及如何解決這個問題？

另外，我該怎麼做才能讓守護程序在啟動時執行？

最後，我放棄了嘗試這樣做，因為我能夠（通過其他方式）辨識一些導致刪除發生的程式碼。

該規則試圖定義兩條審計路徑，-w S並且-w /home/myfolder/cache. 您也只能使用-p and -k選項-w。

嘗試以下規則：

-a exit,always -S unlinkat -S truncate -S ftruncate -F dir=/home/myfolder/cache -F key=cache_deletion

…或為簡單起見：

-w /home/myfolder/cache -k cache_deletion -p wa

在啟動時啟動服務：

/sbin/chkconfig auditd on

引用自：https://serverfault.com/questions/433002