Como descobrir quais processs estão excluindo files de um diretório específico?

Estou tentando descobrir quais processs estão excluindo files de um diretório específico, então eu quero configurair e executair auditd no meu sistema.

Eu configurei a seguinte regra em audit.rules :

-w S unlink -S truncate -S ftruncate -a exit,always -k cache_deletion -w /home/myfolder/cache

Em seguida, digite isso paira iniciair o daemon de auditoria:

auditctl -R /etc/audit/audit.rules -e 1

Mas eu recebo esta mensagem de erro:

Error - nested rule files not supported

Alguém sabe o que estou fazendo mal aqui e como posso resolview isso?

Além disso, o que devo fazer paira que o daemon seja executado no airranque?

Essa regra está tentando definir dois paths paira auditoria, -w S e -w /home/myfolder/cache . Você só pode usair as opções -p and -k com -w também.

Experimente a seguinte regra:

 -a exit,always -S unlinkat -S truncate -S ftruncate -F dir=/home/myfolder/cache -F key=cache_deletion 

… ou por simplicidade:

 -w /home/myfolder/cache -k cache_deletion -p wa 

Paira iniciair o service na boot:

 /sbin/chkconfig auditd on 

No final, desisti da tentativa de fazer isso porque consegui identificair (por meio de outros meios) algum código que faz com que os apagamentos ocorressem.