Я ищу способ отслеживать, когда перемещается файл/папка, а также куда он был перемещен.
Пока что в своих исследованиях я сталкивался с такими инструментами, как auditd, watchи inotify. Хотя эти инструменты отлично подходят для отслеживания перемещения файла, они не отслеживают, куда именно был перемещен файл.
Я также посмотрел системные журналы, создаваемые при перемещении файла, но их неудобно читать/анализировать.
Есть ли какие-то инструменты, которые могут выполнить эту функцию? Или мне начать писать свой собственный скрипт?
решение1
Мне удалось заставить эту функциональность работать с auditd.
Следующая команда отслеживает
auditctl -a always,exit -F arch=b64 -S rename,rmdir,unlink,unlinkat,renameat -F dir=/path/to/folder/to/monitor -F key=DONT_MOVE
Ключом может быть любая строка по вашему выбору, и она будет использоваться для фильтрации журналов аудита для этой конкретной записи.
Для сохранения вы можете добавить указанную выше строку auditctlбез /etc/audit/audit.rules.
Чтобы проверить, перемещалась ли папка/куда, запустите ausearch -k DONT_MOVE. Журналы не очень удобны для восприятия человеком, но в них указана временная метка и пути до/откуда.