ausearch 過濾審計日誌以僅顯示文件中的讀取、寫入、屬性更改

October 1, 2018

我想過濾審計日誌以使用 ausearch（審計）對 /etc/hosts 文件所做的更改。我可以看到 ausearch 中文件的單個修改操作的多個條目，例如 syscall=chmod、syscall=open 等。
請幫助我了解確認文件或其屬性發生變化所需的確切過濾器。

您是否為寫入和屬性更改設置了文件監視？按照
auditctl -a always,exit -F path=/etc/hosts -F perm=wa
有了這個，您可以看到誰修改了文件屬性或寫入了文件。
要查看更改是什麼，需要某種文件內容監控功能。

引用自：https://serverfault.com/questions/927203

相關問答

CentOS 無法啟動並顯示“A stop job is running for Security Auditing Service”消息

August 5, 2021

Auditd 記錄除某些腳本之外的所有執行

March 24, 2019

Solaris 上的密碼更改審計

September 11, 2018

auditctl：錯誤 - 不支持嵌套規則文件

February 5, 2018

如何阻止 syslog 或 auditd/audisp 將主機資訊添加到轉發的日誌文件？

November 29, 2017

在查看 Syslog 文件時，是什麼阻止了 auditd 記錄 Syslog 的寫入？

March 10, 2017