我如何解釋 aide.log 更改摘要
在 /var/log/aide/aide.log 的 Changed files 部分中,每行都有以 f 或 d 開頭的前綴。這些表示文件的哪些方面發生了變化,但我似乎無法追查它們的含義。(顯然,我可以在日誌文件的下方查看文件的詳細數據,但摘要行的明確參考對於 grepping 很重要。)
這裡有些例子:
f >.p.. mci.CA. .: /etc/passwd- d =.... mc.. .. .: /bin f =.... mci.C.. .: /bin/ip d =.... mc.n A. .: /u1/home
這在
aide.conf手冊頁中有詳細說明,為了完整起見在此處複製,並且是生成報告的可配置屬性:
summarize_changes> > 是否匯總報告中添加、刪除和更改的文件部分的更改。有效值為 yes、true、no 和 false。預設不匯總更改。 > > > 一般格式類似於字元串 YlZbpugamcinCAXS,其中Y被替換為文件類型(f代表正常文件,d代表目錄,L > 代表符號連結,D代表字元設備,B代表塊設備,F > 代表一個 FIFO,s用於 unix 套接字,**?**否則)。 > > > Z替換如下:A **=**表示大小沒有改變,a **<**報告縮小的大小,a **>報告擴大的大小。 > > > 字元串中的其他字母是如果項目的關聯屬性已更改則將輸出的實際字母或“ . ”表示未更改,“ + ”表示已添加屬性,“ - ”表示已添加已被刪除,如果屬性列在 ignore_list 中,則為“ : ”,如果尚未檢查該屬性,則為“ ”。例外情況是:(1) 新創建的文件將每個字母替換為“ + ”,(2) 刪除的文件將每個字母替換為“ - ”。 > > > 與每個字母關聯的屬性如下: > > > * A
l表示連結名稱已更改。 > * Ab表示塊數已更改。 > * Ap表示權限已更改。 > * Anu表示 uid 已更改。 > * Ag表示 gid 已更改。 > * Ana表示訪問時間已更改。 > * Am表示修改時間已更改。 > * Ac表示更改時間已更改。 > * Ani表示 inode 已更改。 > * An表示連結計數已更改。 > * AC表示一個或多個校驗和已更改。 > * AA表示訪問控制列表已更改。 > * AX表示擴展屬性已更改。 > * AS**表示 SELinux 屬性已更改。 > > >