我正在嘗試設置一些 auditd 規則，但收到錯誤 -F missing operation for auid

我正在嘗試在 /etc/audit/audit.rules 中設置以下規則

-a always,exit -S unlink -S unlinkat -S rename -S renameat -F auid>= 1000 -F auid!=4294967295 -k delete

這沒有用，所以我嘗試直接從命令行執行它：

auditctl -a always,exit -S unlink -S unlinkat -S rename -S renameat -F auid>= 1000 -F auid!=4294967295 -k delete

但我收到以下錯誤： -F 缺少 auid 操作

有人可以指導我如何解決這個問題嗎？

執行上述行會導致大於號>被您的 shell 解釋為重定向運算符，大概是bash. 出於這個原因，for 的操作auid失去了，因為之後>的所有內容都不再是命令的一部分。=您可能會在目前目錄中看到一個名為的文件。

>要正確執行，您必須像這樣逃跑：

auditctl -a always,exit -S unlink -S unlinkat -S rename -S renameat -F auid\>= 1000 -F auid!=4294967295 -k delete

或像這樣：

auditctl -a always,exit -S unlink -S unlinkat -S rename -S renameat -F "auid>=1000" -F auid!=4294967295 -k delete

引用自：https://serverfault.com/questions/1012093