# 监控scp创建文件动作
-a always,exit -F arch=b64 -S openat -F exe=/usr/bin/scp -F 'a2&0x40' -F key=scp_create_file
-a always,exit -F arch=b64 -S open -F exe=/usr/bin/scp -F 'a1&0x40' -F key=scp_create_file
# 监控scp关闭文件动作，通常表示文件已经写入完成
-a always,exit -F arch=b64 -S close -F exe=/usr/bin/scp  -F key=scp_close_file

# 监控sftp创建文件动作
-a always,exit -F arch=b64 -S openat -F exe=/usr/libexec/openssh/sftp-server -F 'a2&0x40' -F key=sftp_create_file
-a always,exit -F arch=b64 -S open -F exe=/usr/libexec/openssh/sftp-server -F 'a1&0x40' -F key=sftp_create_file
# 监控sftp关闭文件动作，通常表示文件已经写入完成
-a always,exit -F arch=b64 -S close -F exe=/usr/libexec/openssh/sftp-server -F key=sftp_close_file

# 监控sftp修改文件名动作
-a always,exit -F arch=b64 -S rename,renameat,renameat2 -F exe=/usr/libexec/openssh/sftp-server -F key=sftp_rename_file
-a always,exit -F arch=b64 -S link,unlink,unlinkat,linkat -F exe=/usr/libexec/openssh/sftp-server -F key=sftp_link_file