Я настроил auditd для отслеживания некоторых важных файлов в моей системе. Теперь у меня должен быть сценарий, который будет вызываться каждый раз, когда auditd пишет строку, причем аргумент $1 этого скрипта является добавленной строкой.
Из того, что я читал в ручном аудите, такой опции нет.
Есть ли способ сделать это в любом случае?
Если у меня будет скрипт cron, работающий каждую минуту, у меня будет проблема, определяющая его, на каких строках он должен работать (какие строки являются новыми? Если они есть?)
Используя команду tail так:
tail -Fn0 /var/log/audit/audit.log | /sbin/script
и /sbin/script выглядит так:
while IFS= read -r line; do #something to do with $line variable when it comes done