ファイル/フォルダーがいつ移動されたか、またどこに移動されたかを監視する方法を探しています。
auditdこれまでの調査で、、、watchなどのツールに出会いましたinotify。これらのツールは、ファイルがいつ移動するかを監視するのに優れていますが、ファイルの移動先を追跡しません。
ファイルが移動されたときに生成される syslog も確認しましたが、読み取り/解析が困難です。
この機能を実行できるツールはありますか? それとも、独自のスクリプトを書き始める必要がありますか?
答え1
機能を動作させることができましたauditd。
次のコマンドは監視します
auditctl -a always,exit -F arch=b64 -S rename,rmdir,unlink,unlinkat,renameat -F dir=/path/to/folder/to/monitor -F key=DONT_MOVE
キーには任意の文字列を指定でき、この特定のエントリの監査ログをフィルタリングするために使用されます。
永続性を保つために、上記の文字列を なしに追加することができauditctlます/etc/audit/audit.rules。
フォルダーが移動したかどうか、またどこに移動したかを確認するには、 を実行しますausearch -k DONT_MOVE。ログは人間にとってあまりわかりやすいものではありませんが、タイムスタンプと移動先/移動元のパスがリストされます。