Linux监控文件被什么进程修改、删除,审计工具auditd
auditd,审计工具
·
安装: apt-get install auditd.
1.auditd 是后台守护进程,负责监控记录
2.auditctl 配置规则的工具
3.auditsearch 搜索查看
4.aureport 根据监控记录生成报表
比如,监控 /root/.ssh/authorized_keys 文件是否被修改过:
aditctl -w /root/.ssh/authorized_keys -p rwax -k auth_key
•-w 指明要监控的文件
•-p awrx 要监控的操作类型,append, write, read, execute
•-k 给当前这条监控规则起个名字,方便搜索过滤
ausearch -i -k auth_key 查找key字段搜索审计日志
ausearch -f file_name 根据文件名搜索审计日志
也可以在/var/log/audit/audit.log文件中看到具体的监控信息
aureport 生成报简要报告
auditctl -l 查看定义的规则
auditctl -D 清空定义的规则和监控
如果要在程序中监控文件及目录的变化,推荐使用inotify
参考链接:Linux目录、文件事件监控
更多推荐
0
0- 0
已为社区贡献1条内容
所有评论(0)