Dank geht an Steve @ redhat, der meine Frage auf der Mailingliste von linux-audit beantwortet hat :
Eine Uhr ist eigentlich eine versteckte Syscall-Regel. Wenn Sie ein Verzeichnis mit einer Überwachung versehen, wird es von auditctl in Folgendes umgewandelt:
-a exit,always -F dir=/home/raven/public_html -F perm=war -F key=raven-pubhtmlwatch
Das
-F
Feld dir ist rekursiv. Wenn Sie jedoch nur die Verzeichniseinträge überwachen möchten, können Sie dies in-F
Pfad ändern .-a exit,always -F path=/home/raven/public_html -F perm=war -F key=raven-pubhtmlwatch
Dies ist nicht rekursiv und überwacht nur den Inode, den das Verzeichnis belegt.
Ich musste die Regel manuell hinzufügen und /etc/audit/audit.rules
dann auditd mit neu starten
/etc/init.d/auditd restart
Jetzt werden die Regeln hinzugefügt und es funktioniert super!