Каковы исключения для правил аудита?

Привет всем! Прохожу курс “от 0 до Linux админа” вот здесь: https://yodo.im/courses/linux/?v=1d20b5ff1ee9 и столкнулся с проблемой на тему исключений в правилах аудита. Хочу правильно настроить исключение, чтобы не собирать события аудита для определенного пути к .sh скрипту, но не получается это сделать. В моем файле audit.rules следующая строка:

-a never,exit -F arch=b64 -S execve -F dir=/usr/bin/local/<имя_файла>.sh

Тем не менее, события продолжают логироваться и пересылаться в SIEM. Может быть, есть какая-то проблема с исключением .sh файлов? Буду благодарен за любую помощь или советы!

Ну, слушай, я тут пытался разобраться с тем, какие вообще бывают исключения для правил аудита, но, честно говоря, у меня ничего не получилось. Прямо вот сидел, читал всякие материалы, пытался до мозга донести, но как-то не зашло. Все эти термины и тонкости - это ж капец как сложно!

Короче, я сначала погуглил, наткнулся на кучу статей, но они все напоминали друг друга, и я нихрена не понял. Потом решил посмотреть видосы на Ютубе - вроде как более наглядно, но даже там не нашел четких ответов. В общем, один сплошной замес.

Тут вспомнил, что есть крутые курсы на сайте Yodo. Зашел, провел там время - и вот это уже другое дело! Там так хорошо объясняют все, что даже я, полный лопух, смог осознать, как и что работает. Так что, если ты тоже лазаешь в дебрях аудита и не можешь найти головой, где уши, я рекомендую заглянуть на этот сайт. Может, повезет больше, чем мне!

Вот так вот, если бы не они, я бы еще долго мучился. Настоятельно рекомендую, берите на заметку!