Audit

ausearch 過濾審計日誌以僅顯示文件中的讀取、寫入、屬性更改

  • October 1, 2018

我想過濾審計日誌以使用 ausearch(審計)對 /etc/hosts 文件所做的更改。我可以看到 ausearch 中文件的單個修改操作的多個條目,例如 syscall=chmod、syscall=open 等。

請幫助我了解確認文件或其屬性發生變化所需的確切過濾器。

您是否為寫入和屬性更改設置了文件監視?按照

auditctl -a always,exit -F path=/etc/hosts -F perm=wa

有了這個,您可以看到誰修改了文件屬性或寫入了文件。

要查看更改是什麼,需要某種文件內容監控功能。

引用自:https://serverfault.com/questions/927203