Linux Auditd отслеживает записи на внешние носители

Поэтому я искал способы аудита, когда форма внешнего носителя выполняет запись / выгрузку в системе Linux. В настоящее время основное решение, с которым я столкнулся, заключается в простом аудите, когда происходят системные вызовы mount и unmount, поскольку отслеживание записей может чрезмерно заполнить файлы журнала (это не должно быть проблемой для моей ситуации). Моя текущая попытка чтения записей с внешнего носителя выглядит следующим образом:

-w /media/ -p rwxa -k external_media

Однако я обнаружил, что это решение не работает, так как -w не перемещается во вновь вставленные подключенные каталоги. Я также изучил параметр -q, но, поскольку я не буду заранее знать имя подключенного каталога, я не знаю, как задать для параметра -q имя каталога subtree/ mount. Есть идеи?

TL; DR В аудите есть ли хороший способ обновить каталог наблюдения правила, когда новая точка монтирования находится внутри указанного каталога?

ОБНОВЛЕНИЕ: я пытаюсь использовать -R /etc/audit/audit.rules в моем правиле монтирования, так что всякий раз, когда я нахожу новое монтирование / размонтирование, мой список правил будет повторно применен к наблюдаемому каталогу, включая поддеревья смонтированного каталога, но я получаю следующую ошибку

Error - nested rule files not supported

Что я предполагаю, потому что я пытаюсь -R /etc/audit/audit.rules в том же файле, хотя я могу ошибаться. Есть ли обходной путь для этого, чтобы правила могли автоматически применяться при наступлении какого-либо события аудита? Однако я не уверен, что это решит проблему, потому что я не знаю, действительно ли -R сразу же применяет новые правила или будет ждать, пока вместо этого не будет перезапущен сервис audd.