谁动了我的文件——使用audit监控文件和目录

2024-05-04 08:48

本文主要是介绍谁动了我的文件——使用audit监控文件和目录,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

有时候在系统上经常会遇到某个文件不知被谁修改了,或者删除了,又找不到证据,这时候audit就派上用场了。

比如我要监控/var/log/test这个目录,可以这样新增一个监控项,

[root@CentOS-7-2 /var/log/test]# auditctl -w /var/log/test
[root@CentOS-7-2 /var/log/test]# auditctl -l
-w /var/log/test/ -p rwxa
[root@CentOS-7-2 /var/log/test]# 

查询确认有规则添加。

接下来我们在该目录使用touch命令生成my.txt这个文件,然后再删除它,模拟别人操作该文件。

[root@CentOS-7-2 /var/log/test]# ls
.  ..
[root@CentOS-7-2 /var/log/test]# touch my.txt
[root@CentOS-7-2 /var/log/test]# ls
.  ..  my.txt
[root@CentOS-7-2 /var/log/test]# rm -rf my.txt 
[root@CentOS-7-2 /var/log/test]# ls
.  ..
[root@CentOS-7-2 /var/log/test]# 

这些操作audit都是有记录的,可以使用ausearch这个配套命令来查找相关记录,命令如下,

[root@CentOS-7-2 /var/log/test]# ausearch -f my.txt
----
time->Fri Jul 13 22:56:23 2018
type=PATH msg=audit(1531493783.645:797): item=0 name="my.txt" inode=69419422 dev=08:03 mode=0100644 ouid=0 ogid=0 rdev=00:00 objtype=NORMAL
type=CWD msg=audit(1531493783.645:797):  cwd="/var/log/test"
type=SYSCALL msg=audit(1531493783.645:797): arch=c000003e syscall=191 success=no exit=-61 a0=7ffeaaa8af70 a1=7f1d8703f114 a2=7ffeaaa8af30 a3=14 items=1 ppid=9251 pid=9328 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 ses=88 comm="ls" exe="/usr/bin/ls" key=(null)
----
time->Fri Jul 13 22:56:22 2018
type=PATH msg=audit(1531493782.346:795): item=1 name="my.txt" inode=69419422 dev=08:03 mode=0100644 ouid=0 ogid=0 rdev=00:00 objtype=CREATE
type=PATH msg=audit(1531493782.346:795): item=0 name="/var/log/test" inode=69419417 dev=08:03 mode=040755 ouid=0 ogid=0 rdev=00:00 objtype=PARENT
type=CWD msg=audit(1531493782.346:795):  cwd="/var/log/test"
type=SYSCALL msg=audit(1531493782.346:795): arch=c000003e syscall=2 success=yes exit=3 a0=7ffd739db862 a1=941 a2=1b6 a3=7ffd739d9af0 items=2 ppid=9251 pid=9327 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 ses=88 comm="touch" exe="/usr/bin/touch" key=(null)
----
time->Fri Jul 13 22:56:30 2018
type=PATH msg=audit(1531493790.088:803): item=1 name="my.txt" inode=69419422 dev=08:03 mode=0100644 ouid=0 ogid=0 rdev=00:00 objtype=DELETE
type=PATH msg=audit(1531493790.088:803): item=0 name="/var/log/test" inode=69419417 dev=08:03 mode=040755 ouid=0 ogid=0 rdev=00:00 objtype=PARENT
type=CWD msg=audit(1531493790.088:803):  cwd="/var/log/test"
type=SYSCALL msg=audit(1531493790.088:803): arch=c000003e syscall=263 success=yes exit=0 a0=ffffffffffffff9c a1=c1b0c0 a2=0 a3=7fff3824f120 items=2 ppid=9251 pid=9331 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 ses=88 comm="rm" exe="/usr/bin/rm" key=(null)
[root@CentOS-7-2 /var/log/test]# 

我们主要关注里面的comm=”rm” exe=”/usr/bin/rm”,这两个字段,通过这两个字段我们就知道是什么命令操作了我们的文件或目录。同时也可以看下pid这个字段,如果这个进程还在的话,那就可以直接看出是哪个进程操作的了。妖怪,看你往哪逃。

如果需要删除这条规格,可以使用以下命令,

[root@CentOS-7-2 /var/log/test]# auditctl -l
-w /var/log/test/ -p rwxa
[root@CentOS-7-2 /var/log/test]# auditctl -W /var/log/test
[root@CentOS-7-2 /var/log/test]# auditctl -l
No rules
[root@CentOS-7-2 /var/log/test]# 

也就是使用小写的w添加规则,大写的W删除规则。

通过这一功能,在大多时候都能确定是谁动了我的文件,屡试不爽。

这篇关于谁动了我的文件——使用audit监控文件和目录的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/958805

相关文章

流媒体平台/视频监控/安防视频汇聚EasyCVR播放暂停后视频画面黑屏是什么原因?

视频智能分析/视频监控/安防监控综合管理系统EasyCVR视频汇聚融合平台,是TSINGSEE青犀视频垂直深耕音视频流媒体技术、AI智能技术领域的杰出成果。该平台以其强大的视频处理、汇聚与融合能力,在构建全栈视频监控系统中展现出了独特的优势。视频监控管理系统EasyCVR平台内置了强大的视频解码、转码、压缩等技术,能够处理多种视频流格式,并以多种格式(RTMP、RTSP、HTTP-FLV、WebS

中文分词jieba库的使用与实景应用(一)

知识星球:https://articles.zsxq.com/id_fxvgc803qmr2.html 目录 一.定义: 精确模式(默认模式): 全模式: 搜索引擎模式: paddle 模式(基于深度学习的分词模式): 二 自定义词典 三.文本解析   调整词出现的频率 四. 关键词提取 A. 基于TF-IDF算法的关键词提取 B. 基于TextRank算法的关键词提取

使用SecondaryNameNode恢复NameNode的数据

1)需求: NameNode进程挂了并且存储的数据也丢失了,如何恢复NameNode 此种方式恢复的数据可能存在小部分数据的丢失。 2)故障模拟 (1)kill -9 NameNode进程 [lytfly@hadoop102 current]$ kill -9 19886 (2)删除NameNode存储的数据(/opt/module/hadoop-3.1.4/data/tmp/dfs/na

Hadoop数据压缩使用介绍

一、压缩原则 (1)运算密集型的Job,少用压缩 (2)IO密集型的Job,多用压缩 二、压缩算法比较 三、压缩位置选择 四、压缩参数配置 1)为了支持多种压缩/解压缩算法,Hadoop引入了编码/解码器 2)要在Hadoop中启用压缩,可以配置如下参数

Makefile简明使用教程

文章目录 规则makefile文件的基本语法:加在命令前的特殊符号:.PHONY伪目标: Makefilev1 直观写法v2 加上中间过程v3 伪目标v4 变量 make 选项-f-n-C Make 是一种流行的构建工具,常用于将源代码转换成可执行文件或者其他形式的输出文件(如库文件、文档等)。Make 可以自动化地执行编译、链接等一系列操作。 规则 makefile文件

使用opencv优化图片(画面变清晰)

文章目录 需求影响照片清晰度的因素 实现降噪测试代码 锐化空间锐化Unsharp Masking频率域锐化对比测试 对比度增强常用算法对比测试 需求 对图像进行优化,使其看起来更清晰,同时保持尺寸不变,通常涉及到图像处理技术如锐化、降噪、对比度增强等 影响照片清晰度的因素 影响照片清晰度的因素有很多,主要可以从以下几个方面来分析 1. 拍摄设备 相机传感器:相机传

综合安防管理平台LntonAIServer视频监控汇聚抖动检测算法优势

LntonAIServer视频质量诊断功能中的抖动检测是一个专门针对视频稳定性进行分析的功能。抖动通常是指视频帧之间的不必要运动,这种运动可能是由于摄像机的移动、传输中的错误或编解码问题导致的。抖动检测对于确保视频内容的平滑性和观看体验至关重要。 优势 1. 提高图像质量 - 清晰度提升:减少抖动,提高图像的清晰度和细节表现力,使得监控画面更加真实可信。 - 细节增强:在低光条件下,抖

pdfmake生成pdf的使用

实际项目中有时会有根据填写的表单数据或者其他格式的数据,将数据自动填充到pdf文件中根据固定模板生成pdf文件的需求 文章目录 利用pdfmake生成pdf文件1.下载安装pdfmake第三方包2.封装生成pdf文件的共用配置3.生成pdf文件的文件模板内容4.调用方法生成pdf 利用pdfmake生成pdf文件 1.下载安装pdfmake第三方包 npm i pdfma

零基础学习Redis(10) -- zset类型命令使用

zset是有序集合,内部除了存储元素外,还会存储一个score,存储在zset中的元素会按照score的大小升序排列,不同元素的score可以重复,score相同的元素会按照元素的字典序排列。 1. zset常用命令 1.1 zadd  zadd key [NX | XX] [GT | LT]   [CH] [INCR] score member [score member ...]

git使用的说明总结

Git使用说明 下载安装(下载地址) macOS: Git - Downloading macOS Windows: Git - Downloading Windows Linux/Unix: Git (git-scm.com) 创建新仓库 本地创建新仓库:创建新文件夹,进入文件夹目录,执行指令 git init ,用以创建新的git 克隆仓库 执行指令用以创建一个本地仓库的