2019獨(dú)角獸企業(yè)重金招聘Python工程師標(biāo)準(zhǔn)>>>

如果沒(méi)有auditd的話，使用yum安裝安裝即可

以linux監(jiān)控/tmp/xxx.dat為例：

#?vi?/etc/audit/audit.rules #?whenever?the?audit?daemon?is?started?via?the?initscripts. #?The?rules?are?simply?the?parameters?that?would?be?passed #?to?auditctl. #?First?rule?-?delete?all -D #?Increase?the?buffers?to?survive?stress?events. #?Make?this?bigger?for?busy?systems -b?320 #?Feel?free?to?add?below?this?line.?See?auditctl?man?page -w?/tmp/xxx.dat?-p?wa

修改完成后重啟auditd服務(wù)

#?service?auditd?restart

默認(rèn)監(jiān)控輸出的文件是??/var/log/audit/audit.log?

你也可以使用ausearch來(lái)過(guò)濾搜索audit.log文件。例如：

#?ausearch?-f?/tmp/xxx.dat ---- time->Fri?Dec?25?10:39:36?2015 type=PATH?msg=audit(1451011176.268:17610):?item=1?name="/tmp/xxx.dat"?inode=525492?dev=fd:00?mode=0100644?ouid=0?ogid=0?rdev=00:00 type=PATH?msg=audit(1451011176.268:17610):?item=0?name="/tmp/"?inode=524289?dev=fd:00?mode=041777?ouid=0?ogid=0?rdev=00:00 type=CWD?msg=audit(1451011176.268:17610):??cwd="/home/slview/test/wsc" type=SYSCALL?msg=audit(1451011176.268:17610):?arch=c000003e?syscall=2?success=yes?exit=3?a0=1b89f20?a1=241?a2=1b6?a3=3fc1b1dc10?items=2?ppid=13913?pid=13977?auid=0?uid=0?gid=0?euid=0?suid=0?fsuid=0?egid=0?sgid=0?fsgid=0?tty=pts8?ses=1778?comm="test.pl"?exe="/usr/bin/perl"?key=(null)

如果你在使用ausearch過(guò)濾不出來(lái)內(nèi)容時(shí)，可以直接打開(kāi)audit.log文件自己找。

轉(zhuǎn)載于:https://my.oschina.net/wangshucun/blog/550918

《新程序員》：云原生和全面數(shù)字化實(shí)踐50位技術(shù)專家共同創(chuàng)作，文字、視頻、音頻交互閱讀

總結(jié)

以上是生活随笔為你收集整理的使用auditd监控Linux的文件变化的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。