Como configurar a monitoração de um arquivo para auditoria?
Digamos que você gostaria de auditar o arquivo /etc/passwd. Você precisa digitar o comando a seguir:

# auditctl -w /etc/passwd -p war -k password-file

Onde:

-w /etc/passwd: Insere o monitoramento para o objeto de sistema no caminho dado. Neste caso monitorar o arquivo chamado /etc/passwd. -p war: Configurar os filtros de permissão para o monitoramento de um sistema de arquivos.

Os valores são r para leitura, w para escrita, x para execução e a para anexar (append).

-k password-file: Configura uma chave para filtragem o monitoramento do arquivo /etc/passwd. As palavras "password-file" são uma palavra-chave (esta palavra chave deve ter no máximo 31 bytes). Esta chave identifica unicamente os registros do audit produzidos pela monitoração.

Resumindo: você está monitorando (vigiando) o arquivo /etc/passwd com vistas a qualquer um (incluindo syscall) que pode efetuar escrita, leitura ou anexar (append) no arquivo.

Espere por algum tempo ou rode o seguinte comando como um usuário comum:

$ grep 'qqcoisa' /etc/passwd
$ vi /etc/passwd

Regra de auditoria para arquivos
Adicione o monitoramento no arquivo /etc/shadow com a palavra-chave "shadow-file", a qual gera registros para "leituras, escritas, execuções e appends" neste arquivo.

# auditctl -w /etc/shadow -k shadow-file -p rwxa

Regra de auditoria para chamadas de sistema (syscall)
A regra a seguir suprime auditoria para saídas de chamadas de sistema "mount":

# auditctl -a exit,never -S mount

Regra para auditoria de sistemas de arquivos
Adicionar o monitoramento no sistema de arquivos /tmp o qual gera registros em todas as "execuções" (legal para um webserver por exemplo):

# auditctl -w /tmp -p e -k webserver-watch-tmp

Regra de auditoria para chamadas de sistema (syscall) usando PID
Para ver todas as chamadas de sistema feitas por um programa chamado sshd (pid - 1005):

# auditctl -a