Audit
ausearch 過濾審計日誌以僅顯示文件中的讀取、寫入、屬性更改
我想過濾審計日誌以使用 ausearch(審計)對 /etc/hosts 文件所做的更改。我可以看到 ausearch 中文件的單個修改操作的多個條目,例如 syscall=chmod、syscall=open 等。
請幫助我了解確認文件或其屬性發生變化所需的確切過濾器。
您是否為寫入和屬性更改設置了文件監視?按照
auditctl -a always,exit -F path=/etc/hosts -F perm=wa
有了這個,您可以看到誰修改了文件屬性或寫入了文件。
要查看更改是什麼,需要某種文件內容監控功能。