データベースファイルの格納場所

最も重要なこととして、データベースをどこに格納するかという問題があります。
データベースファイル自体が、侵入者に改ざんされてしまっては、全く意味がありません。
そのため、データベースファイルはリモートサーバやReadOnlyの外部メディアに置くことが推奨されています。

正規表現を使った監視対象の設定

aide.confに定義する監視対象は、正規表現も使った表現も可能です。
以下の例の場合、全ファイル、パーミッション、ユーザーおよびグループのチェックに加え、/etcディレクトリ配下は加えてatimeの値チェックも行います。ただし、/etc/hoge.confはチェックを行いません。

/ p+u+g
=/etc p+u+g+a
!/etc/hoge.conf

詳細は、 AIDE Manual を参照してください。

lgetfilecon_raw failedエラー

Selinuxをdisabledにしている状態でデータベース作成(aide --init)を行うと、大量のlgetfilecon_raw failedエラーが出力されます。
これは、aideは、標準のポリシーにselinuxのチェックが含まれるためです。
設定ファイル(aide.conf)に以下を加えます。

R=p+i+l+n+u+g+s+m+c+acl+xattrs+md5
L=p+i+l+n+u+g+acl+xattrs
>=p+l+u+g+i+n+S+acl+xattrs

参考）
Re【AIDE】lgetfilecon_raw failed