Monitor/audit 文件删除于 Linux
Monitor/audit file delete on Linux
我的一个应用程序部门的一个 .beam 文件正在被删除,我不确定 what/how。
有没有办法监控或审核文件以查看文件被删除时发生的情况?
我正在使用 RedHat 发行版。
是的,您可以使用审计守护程序。您没有说是哪个 Linux 发行版。基于 Red Hat 的系统包含 auditd,您可以使用 auditctl 添加规则。
递归地观察目录的变化:
auditctl -w /usr/local/someapp/ -p wa
要查看 pid 为 2021 的程序进行的系统调用:
auditctl -a exit,always -S all -F pid=2021
查看 auditctl 的手册页。
结果将记录到 /var/log/audit/audit.log
确保它是 运行。
/etc/init.d/auditd status
要获得更彻底的方法,您可以使用 tripwire 或 OSSEC,但它们更适合入侵检测。
您可以使用助手监控您的 Linux 文件系统。 AIDE 表示用于监视更改的入侵检测软件。
步骤:
- 安装 AIDE #yum install aide -y
- 配置助手 // PERMS=p+i+u+g+acl+selinux
- 初始化AIDE数据库#aide –-init
- 检查文件系统变化#aide –-check
要了解更多详情,您可以访问下面link
http://topicsfeedback.com/linux-system-monitoring-tools/
或者您可以在 phone 中下载关于 advance Linux 的最佳 android 应用程序以获得即时访问
https://play.google.com/store/apps/details?id=com.topicsfeedback.advancelinux
我的一个应用程序部门的一个 .beam 文件正在被删除,我不确定 what/how。
有没有办法监控或审核文件以查看文件被删除时发生的情况?
我正在使用 RedHat 发行版。
是的,您可以使用审计守护程序。您没有说是哪个 Linux 发行版。基于 Red Hat 的系统包含 auditd,您可以使用 auditctl 添加规则。
递归地观察目录的变化:
auditctl -w /usr/local/someapp/ -p wa
要查看 pid 为 2021 的程序进行的系统调用:
auditctl -a exit,always -S all -F pid=2021
查看 auditctl 的手册页。
结果将记录到 /var/log/audit/audit.log
确保它是 运行。
/etc/init.d/auditd status
要获得更彻底的方法,您可以使用 tripwire 或 OSSEC,但它们更适合入侵检测。
您可以使用助手监控您的 Linux 文件系统。 AIDE 表示用于监视更改的入侵检测软件。 步骤:
- 安装 AIDE #yum install aide -y
- 配置助手 // PERMS=p+i+u+g+acl+selinux
- 初始化AIDE数据库#aide –-init
- 检查文件系统变化#aide –-check
要了解更多详情,您可以访问下面link http://topicsfeedback.com/linux-system-monitoring-tools/ 或者您可以在 phone 中下载关于 advance Linux 的最佳 android 应用程序以获得即时访问 https://play.google.com/store/apps/details?id=com.topicsfeedback.advancelinux