我對查看誰訪問了文件有一些疑問。
我發現有一些方法可以透過審計子系統和 inotify 查看文件是否被存取(未修改/更改)。
然而,根據我在網上閱讀的內容,根據這裡: http://www.cyberciti.biz/tips/linux-audit-files-to-see-who-made-changes-to-a-file.html
它說“監視/監視”文件,我必須使用以下命令設定監視:
# auditctl -w /etc/passwd -p war -k password-file
因此,如果我建立一個新檔案或目錄,是否必須使用audit/inotify命令首先「設定」監視以「監視」誰存取了新檔案?
還有一種方法可以知道目錄是否正在透過審計子系統或 inotify 進行「監視」?如何/在哪裡可以檢查文件的日誌?
編輯:
透過進一步的谷歌搜索,我發現這個頁面說: http://www.kernel.org/doc/man-pages/online/pages/man7/inotify.7.html
inotify API 不提供有關觸發 inotify 事件的使用者或進程的資訊。
所以我想這意味著我無法弄清楚哪個用戶訪問了文件?只有審計子系統才能找出誰存取了文件?
答案1
來自審計子系統的日誌基於路徑。即使該檔案不存在,您也可以對檔案名稱進行監視。如果文件被建立和訪問,您將獲得日誌條目。
所有日誌auditd都保存在一個文件中(通常/var/log/audit/auditd.log)。
您可以使用 列出審核規則auditctl -l。