Estoy buscando una manera de monitorear cuándo se mueve un archivo/carpeta, así como también a dónde se movió.
Hasta ahora en mi investigación me he encontrado con herramientas auditdcomo watchy inotify. Si bien estas herramientas son excelentes para monitorear cuándo se mueve un archivo, no realizan un seguimiento de dónde se movió el archivo.
También miré los syslogs generados cuando se mueve un archivo, pero son difíciles de leer/analizar.
¿Existe alguna herramienta que pueda realizar esta función? ¿O debería empezar a escribir mi propio guión?
Respuesta1
Pude hacer que la funcionalidad funcionara auditd.
El siguiente comando monitorea
auditctl -a always,exit -F arch=b64 -S rename,rmdir,unlink,unlinkat,renameat -F dir=/path/to/folder/to/monitor -F key=DONT_MOVE
La clave puede ser cualquier cadena de su elección y se utilizará para filtrar los registros de auditoría para esta entrada específica.
Para mayor persistencia, puede agregar la cadena anterior auditctlsin /etc/audit/audit.rules.
Para verificar si y dónde se movió la carpeta, ejecute ausearch -k DONT_MOVE. Los registros no son muy amigables para los humanos, pero enumeran la marca de tiempo y las rutas de ida y vuelta.