파일/폴더가 이동되는 시기와 이동된 위치를 모니터링할 수 있는 방법을 찾고 있습니다.
auditd지금까지 조사하면서 , watch및 와 같은 도구를 발견했습니다 inotify. 이러한 도구는 파일 이동 시기를 모니터링하는 데는 탁월하지만 파일이 이동된 위치를 추적하지는 않습니다.
또한 파일이 이동될 때 생성된 syslog를 살펴봤지만 읽기/분석하기가 어렵습니다.
이 기능을 수행할 수 있는 도구가 있습니까? 아니면 나만의 스크립트 작성을 시작해야 합니까?
답변1
작업할 수 있는 기능을 얻을 수 있었습니다 auditd.
다음 명령은 모니터합니다.
auditctl -a always,exit -F arch=b64 -S rename,rmdir,unlink,unlinkat,renameat -F dir=/path/to/folder/to/monitor -F key=DONT_MOVE
키는 원하는 문자열이 될 수 있으며 이 특정 항목에 대한 감사 로그를 필터링하는 데 사용됩니다.
auditctl지속성 을 위해 위 문자열을 /etc/audit/audit.rules.
폴더가 이동되었는지/위치를 확인하려면 를 실행하세요 ausearch -k DONT_MOVE. 로그는 사람에게 친숙하지 않지만 타임스탬프와 시작/시작 경로를 나열합니다.