程式扎記: [Linux 文章收集] 使用 auditctl 監控檔案的建立、存取與刪除

標籤

2014年2月11日 星期二

[Linux 文章收集] 使用 auditctl 監控檔案的建立、存取與刪除

來源自 這裡 
Preface: 
最近在找一個問題,Linux 上有檔案莫名其妙被砍掉了,不過因為這問題不容易發生,所以也還不太容易找到...找了一下,Linux 上面有 auditctl 可以用來記錄檔案的動作,因此如果之後檔案有被刪掉,理論上可以從 audit log 裡面找出來原兇是誰... 

auditctl 使用介紹: 
auditctl 比較簡單的用法是直接用 -w 指定要監控的路徑,例如我想要監控目錄 ./test 下的所有活動: 
# auditctl -w /root/test

用 -l 選項則可以秀出目前已經監控的路徑(其實是列出所有的規則): 
# auditctl -l
LIST_RULES: exit,always dir=/root/test (0xa) perm=rwxa

當你對檔案做了一些動作之後,就可以用 ausearch 來觀察 audit log: 
# echo "this is test1" > test1.txt # 產生測試資料
# vi test2.txt
# ausearch -f /root/test # 檢視 log

如果想要比較人性化的輸出的話,可以加上 -i 的選項,如 ausearch -i -f /test .當監測完畢時,用 auditctl -D 就可以刪除掉所有的規則囉~ 

auditctl 設定: 
audit 檔案預設是存在 /var/log/audit 目錄下面, 如果需要修改一些設定像是紀錄檔的個數與大小的話,可以修改 /etc/audit/auditd.conf. 像 num_logs 代表檔案個數,max_log_file 是檔案大小(MB): 

Supplement: 
Stackexchange > how i can identify which process is making UDP traffic on linux?

沒有留言:

張貼留言

網誌存檔

關於我自己

我的相片
Where there is a will, there is a way!