Linux

在 Linux 中,有沒有辦法查看哪個使用者更新了文件?

  • March 21, 2013

Linux 是否記錄最後更改文件的人(而不是創建文件)?如果是這樣,我該如何發現這一點?如果沒有,有什麼方法可以監控文件嗎?

查看誰對文件進行了更改

audit使用包管理器為您的發行版安裝包並啟動服務。

為您感興趣的文件設置監視,例如/etc/passwd

# auditctl -w /etc/passwd -p war -k password-file

查看該audit文件的記錄

# ausearch -f /etc/passwd | less

一般來說,沒有。我從未嘗試過,但如果您想跟踪訪問特定文件的使用者,您可以查看audit

引用自:https://serverfault.com/questions/43978