如何在 auditd 事件上執行腳本？

我已將 auditd 配置為跟踪系統上的一些敏感文件。現在我將有一個腳本，每次 auditd 寫入一行時都會呼叫$1該腳本，該腳本的參數是添加的行。

從我在手冊中閱讀的內容來看，auditd 沒有這樣的選項。

有沒有辦法做到這一點？

如果我每分鐘都有一個 cron 腳本執行，我將在定義它應該在哪些行上工作時遇到問題（哪些行是新的？如果有的話？）

像這樣使用tail命令：

tail -Fn0 /var/log/audit/audit.log | /sbin/script

/sbin/script就像這樣：

while IFS= read -r line; do
 #something to do with $line variable when it comes
done

引用自：https://unix.stackexchange.com/questions/350081