就像递归一样，为了理解 auditd，您必须首先了解 auditd。Auditd 是内核模块的前端，它拦截/监视系统调用并报告它们。也就是说，该-w选项不会在目标上连续执行ls、md5sum或类似操作，它指示内核模块报告在目标上执行文件访问调用的尝试，例如 open() 或 creat()。将此信息翻译回您的问题，这意味着 auditd无法检测到远程主机以这种方式所做的更改。这些系统调用发生在远程系统上。

要进行您想要的那种监控，您需要在远程主机上配置 auditd 以在本地监控 nfs 挂载。然后你应该做的是将所有运行 auditd 的主机记录到中央日志主机，使用类似 audisp-remote 的东西。然后可以更轻松地搜索和关联日志。