谁动了我的文件——使用audit监控文件和目录

2024-05-04 08:48
文章标签 使用 监控 目录 audit 谁动

本文主要是介绍谁动了我的文件——使用audit监控文件和目录,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

有时候在系统上经常会遇到某个文件不知被谁修改了,或者删除了,又找不到证据,这时候audit就派上用场了。

比如我要监控/var/log/test这个目录,可以这样新增一个监控项,

[root@CentOS-7-2 /var/log/test]# auditctl -w /var/log/test
[root@CentOS-7-2 /var/log/test]# auditctl -l
-w /var/log/test/ -p rwxa
[root@CentOS-7-2 /var/log/test]#

查询确认有规则添加。

接下来我们在该目录使用touch命令生成my.txt这个文件,然后再删除它,模拟别人操作该文件。

[root@CentOS-7-2 /var/log/test]# ls
.  ..
[root@CentOS-7-2 /var/log/test]# touch my.txt
[root@CentOS-7-2 /var/log/test]# ls
.  ..  my.txt
[root@CentOS-7-2 /var/log/test]# rm -rf my.txt 
[root@CentOS-7-2 /var/log/test]# ls
.  ..
[root@CentOS-7-2 /var/log/test]#

这些操作audit都是有记录的,可以使用ausearch这个配套命令来查找相关记录,命令如下,

[root@CentOS-7-2 /var/log/test]# ausearch -f my.txt
----
time->Fri Jul 13 22:56:23 2018
type=PATH msg=audit(1531493783.645:797): item=0 name="my.txt" inode=69419422 dev=08:03 mode=0100644 ouid=0 ogid=0 rdev=00:00 objtype=NORMAL
type=CWD msg=audit(1531493783.645:797):  cwd="/var/log/test"
type=SYSCALL msg=audit(1531493783.645:797): arch=c000003e syscall=191 success=no exit=-61 a0=7ffeaaa8af70 a1=7f1d8703f114 a2=7ffeaaa8af30 a3=14 items=1 ppid=9251 pid=9328 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 ses=88 comm="ls" exe="/usr/bin/ls" key=(null)
----
time->Fri Jul 13 22:56:22 2018
type=PATH msg=audit(1531493782.346:795): item=1 name="my.txt" inode=69419422 dev=08:03 mode=0100644 ouid=0 ogid=0 rdev=00:00 objtype=CREATE
type=PATH msg=audit(1531493782.346:795): item=0 name="/var/log/test" inode=69419417 dev=08:03 mode=040755 ouid=0 ogid=0 rdev=00:00 objtype=PARENT
type=CWD msg=audit(1531493782.346:795):  cwd="/var/log/test"
type=SYSCALL msg=audit(1531493782.346:795): arch=c000003e syscall=2 success=yes exit=3 a0=7ffd739db862 a1=941 a2=1b6 a3=7ffd739d9af0 items=2 ppid=9251 pid=9327 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 ses=88 comm="touch" exe="/usr/bin/touch" key=(null)
----
time->Fri Jul 13 22:56:30 2018
type=PATH msg=audit(1531493790.088:803): item=1 name="my.txt" inode=69419422 dev=08:03 mode=0100644 ouid=0 ogid=0 rdev=00:00 objtype=DELETE
type=PATH msg=audit(1531493790.088:803): item=0 name="/var/log/test" inode=69419417 dev=08:03 mode=040755 ouid=0 ogid=0 rdev=00:00 objtype=PARENT
type=CWD msg=audit(1531493790.088:803):  cwd="/var/log/test"
type=SYSCALL msg=audit(1531493790.088:803): arch=c000003e syscall=263 success=yes exit=0 a0=ffffffffffffff9c a1=c1b0c0 a2=0 a3=7fff3824f120 items=2 ppid=9251 pid=9331 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 ses=88 comm="rm" exe="/usr/bin/rm" key=(null)
[root@CentOS-7-2 /var/log/test]#

我们主要关注里面的comm=”rm” exe=”/usr/bin/rm”,这两个字段,通过这两个字段我们就知道是什么命令操作了我们的文件或目录。同时也可以看下pid这个字段,如果这个进程还在的话,那就可以直接看出是哪个进程操作的了。妖怪,看你往哪逃。

如果需要删除这条规格,可以使用以下命令,

[root@CentOS-7-2 /var/log/test]# auditctl -l
-w /var/log/test/ -p rwxa
[root@CentOS-7-2 /var/log/test]# auditctl -W /var/log/test
[root@CentOS-7-2 /var/log/test]# auditctl -l
No rules
[root@CentOS-7-2 /var/log/test]#

也就是使用小写的w添加规则,大写的W删除规则。

通过这一功能,在大多时候都能确定是谁动了我的文件,屡试不爽。

这篇关于谁动了我的文件——使用audit监控文件和目录的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!


http://www.chinasem.cn/article/958805

相关文章

Conda与Python venv虚拟环境的区别与使用方法详解

Conda与Python venv虚拟环境的区别与使用方法详解

《Conda与Pythonvenv虚拟环境的区别与使用方法详解》随着Python社区的成长,虚拟环境的概念和技术也在不断发展,:本文主要介绍Conda与Pythonvenv虚拟环境的区别与使用... 目录前言一、Conda 与 python venv 的核心区别1. Conda 的特点2. Python v
阅读更多...
Spring Boot中WebSocket常用使用方法详解

Spring Boot中WebSocket常用使用方法详解

《SpringBoot中WebSocket常用使用方法详解》本文从WebSocket的基础概念出发,详细介绍了SpringBoot集成WebSocket的步骤,并重点讲解了常用的使用方法,包括简单消... 目录一、WebSocket基础概念1.1 什么是WebSocket1.2 WebSocket与HTTP
阅读更多...
C#中Guid类使用小结

C#中Guid类使用小结

《C#中Guid类使用小结》本文主要介绍了C#中Guid类用于生成和操作128位的唯一标识符,用于数据库主键及分布式系统,支持通过NewGuid、Parse等方法生成,感兴趣的可以了解一下... 目录前言一、什么是 Guid二、生成 Guid1. 使用 Guid.NewGuid() 方法2. 从字符串创建
阅读更多...
Python使用python-can实现合并BLF文件

Python使用python-can实现合并BLF文件

《Python使用python-can实现合并BLF文件》python-can库是Python生态中专注于CAN总线通信与数据处理的强大工具,本文将使用python-can为BLF文件合并提供高效灵活... 目录一、python-can 库:CAN 数据处理的利器二、BLF 文件合并核心代码解析1. 基础合
阅读更多...
Python使用OpenCV实现获取视频时长的小工具

Python使用OpenCV实现获取视频时长的小工具

《Python使用OpenCV实现获取视频时长的小工具》在处理视频数据时,获取视频的时长是一项常见且基础的需求,本文将详细介绍如何使用Python和OpenCV获取视频时长,并对每一行代码进行深入解析... 目录一、代码实现二、代码解析1. 导入 OpenCV 库2. 定义获取视频时长的函数3. 打开视频文
阅读更多...
Spring IoC 容器的使用详解(最新整理)

Spring IoC 容器的使用详解(最新整理)

《SpringIoC容器的使用详解(最新整理)》文章介绍了Spring框架中的应用分层思想与IoC容器原理,通过分层解耦业务逻辑、数据访问等模块,IoC容器利用@Component注解管理Bean... 目录1. 应用分层2. IoC 的介绍3. IoC 容器的使用3.1. bean 的存储3.2. 方法注
阅读更多...
Python内置函数之classmethod函数使用详解

Python内置函数之classmethod函数使用详解

《Python内置函数之classmethod函数使用详解》:本文主要介绍Python内置函数之classmethod函数使用方式,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地... 目录1. 类方法定义与基本语法2. 类方法 vs 实例方法 vs 静态方法3. 核心特性与用法(1编程客
阅读更多...
Linux中压缩、网络传输与系统监控工具的使用完整指南

Linux中压缩、网络传输与系统监控工具的使用完整指南

《Linux中压缩、网络传输与系统监控工具的使用完整指南》在Linux系统管理中,压缩与传输工具是数据备份和远程协作的桥梁,而系统监控工具则是保障服务器稳定运行的眼睛,下面小编就来和大家详细介绍一下它... 目录引言一、压缩与解压:数据存储与传输的优化核心1. zip/unzip:通用压缩格式的便捷操作2.
阅读更多...
使用Python实现可恢复式多线程下载器

使用Python实现可恢复式多线程下载器

《使用Python实现可恢复式多线程下载器》在数字时代,大文件下载已成为日常操作,本文将手把手教你用Python打造专业级下载器,实现断点续传,多线程加速,速度限制等功能,感兴趣的小伙伴可以了解下... 目录一、智能续传:从崩溃边缘抢救进度二、多线程加速:榨干网络带宽三、速度控制:做网络的好邻居四、终端交互
阅读更多...
Python中注释使用方法举例详解

Python中注释使用方法举例详解

《Python中注释使用方法举例详解》在Python编程语言中注释是必不可少的一部分,它有助于提高代码的可读性和维护性,:本文主要介绍Python中注释使用方法的相关资料,需要的朋友可以参考下... 目录一、前言二、什么是注释?示例:三、单行注释语法:以 China编程# 开头,后面的内容为注释内容示例:示例:四
阅读更多...

Copyright China编程 23002807@qq.com

沪ICP备2023033072号-2