int audit_add_rule_data (int fd, struct audit_rule_data *rule, int flags, int action);
ОПИСАНИЕ
Функция audit_add_rule добавляет новое правило аудита в определённый фильтр событий ядра. Фильтр указывается флагами в передаваемых аргументах. Допустимые значения флагов (flags):
*
AUDIT_FILTER_USER - применить правило к сообщениям пространства пользователя.
*
AUDIT_FILTER_TASK - применить правило при создании задачи (не к системному вызову).
*
AUDIT_FILTER_ENTRY - применить правило при выполнении системного вызова.
*
AUDIT_FILTER_WATCH - применить правило при обращении к файловой системе.
*
AUDIT_FILTER_EXIT - применить правило по завершении выполнения системного вызова.
*
AUDIT_FILTER_TYPE - применить правило при выполнении функции audit_log_start.
Правило (rule) может принимать следующее значение:
*
AUDIT_NEVER - не порождать никакой информации если правило соответствует.
*
AUDIT_ALWAYS - создать запись события аудита при соответствии правила.
ВОЗВРАЩАЕМОЕ ЗНАЧЕНИЕ
При ошибке возвращает значение <= 0. Иначе, порядковый номер сообщения netlink. Также эта функция может вернуть любую ошибку, которая может произойти при вызове функции sendto.