Estou procurando uma maneira de monitorar quando um arquivo/pasta é movido, bem como para onde foi movido.
Até agora, em minha pesquisa, encontrei ferramentas como auditd, watche inotify. Embora essas ferramentas sejam ótimas para monitorar quando um arquivo é movido, elas não controlam para onde o arquivo foi movido.
Também observei os syslogs gerados quando um arquivo é movido, mas eles são difíceis de ler/analisar.
Existe alguma ferramenta que possa executar essa função? Ou devo começar a escrever meu próprio roteiro?
Responder1
Consegui fazer com que a funcionalidade funcionasse auditd.
O seguinte comando monitora
auditctl -a always,exit -F arch=b64 -S rename,rmdir,unlink,unlinkat,renameat -F dir=/path/to/folder/to/monitor -F key=DONT_MOVE
A chave pode ser qualquer sequência de sua escolha e será usada para filtrar logs de auditoria para esta entrada específica.
Para persistência, você pode anexar a string acima sem auditctlto /etc/audit/audit.rules.
Para verificar se/para onde a pasta foi movida, execute ausearch -k DONT_MOVE. Os logs não são muito amigáveis, mas listam o carimbo de data/hora e os caminhos de/para.