Ich suche nach einer Möglichkeit, zu überwachen, wann und wohin eine Datei/ein Ordner verschoben wird.
Bei meinen Recherchen bin ich bisher auf Tools wie auditd, watchund gestoßen inotify. Diese Tools können zwar hervorragend überwachen, wann eine Datei verschoben wird, sie verfolgen jedoch nicht, wohin die Datei verschoben wurde.
Ich habe mir auch die Syslogs angesehen, die beim Verschieben einer Datei generiert werden, aber sie sind mühsam zu lesen/analysieren.
Gibt es Tools, die diese Funktion ausführen können? Oder sollte ich anfangen, mein eigenes Skript zu schreiben?
Antwort1
Ich konnte die Funktionalität zum Laufen bringen auditd.
Der folgende Befehl überwacht
auditctl -a always,exit -F arch=b64 -S rename,rmdir,unlink,unlinkat,renameat -F dir=/path/to/folder/to/monitor -F key=DONT_MOVE
Der Schlüssel kann eine beliebige Zeichenfolge Ihrer Wahl sein und wird zum Filtern der Prüfprotokolle für diesen bestimmten Eintrag verwendet.
Aus Gründen der Beständigkeit können Sie die obige Zeichenfolge ohne auditctlan anhängen /etc/audit/audit.rules.
Um zu prüfen, ob und wohin der Ordner verschoben wurde, führen Sie aus ausearch -k DONT_MOVE. Die Protokolle sind nicht sehr benutzerfreundlich, listen aber den Zeitstempel und die Ziel-/Ausgangspfade auf.