有时候配置文件会被莫名其妙的修改,但是找不到修改他的进程,从而无法抓住罪魁祸首,这时候就诞生了摄像头。呃呃,应该是audit
比如我要监控一个文件test.txt
[root@hsun /]# auditctl -w /audit/ [root@hsun /]# auditctl -l (null): exit,always dir=/audit perm=rwxa
查询确认有规则添加。
然后再audit目录创建test.txt,向文件写内容。
[root@hsun audit]# ausearch -f test.txt ---- time->Fri Jul 26 19:05:08 2019 type=UNKNOWN[1327] msg=audit(1564139108.755:28268): proctitle=746F75636800746573742E747874 type=PATH msg=audit(1564139108.755:28268): item=1 name="test.txt" inode=10732836 dev=fd:00 mode=0100644 ouid=0 ogid=0 rdev=00:00 objtype=CREATE type=PATH msg=audit(1564139108.755:28268): item=0 name="/audit" inode=10732835 dev=fd:00 mode=040755 ouid=0 ogid=0 rdev=00:00 objtype=PARENT type=CWD msg=audit(1564139108.755:28268): cwd="/audit" type=SYSCALL msg=audit(1564139108.755:28268): arch=c000003e syscall=2 success=yes exit=3 a0=7fffec3dd1ba a1=941 a2=1b6 a3=7fffec3dad40 items=2 ppid=2797 pid=119962 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 ses=14 comm="touch" exe="/usr/bin/touch" key=(null)
...
...
...
time->Fri Jul 26 19:05:20 2019 type=UNKNOWN[1327] msg=audit(1564139120.915:28325): proctitle="-bash" type=PATH msg=audit(1564139120.915:28325): item=1 name="test.txt" inode=10732838 dev=fd:00 mode=0100644 ouid=0 ogid=0 rdev=00:00 objtype=NORMAL type=PATH msg=audit(1564139120.915:28325): item=0 name="/audit" inode=10732835 dev=fd:00 mode=040755 ouid=0 ogid=0 rdev=00:00 objtype=PARENT type=CWD msg=audit(1564139120.915:28325): cwd="/audit" type=SYSCALL msg=audit(1564139120.915:28325): arch=c000003e syscall=2 success=yes exit=3 a0=24cab90 a1=441 a2=1b6 a3=0 items=2 ppid=2795 pid=2797 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 ses=14 comm="bash" exe="/usr/bin/bash" key=(null) [root@hsun audit]#
我们主要关注里面的 comm="bash" exe="/usr/bin/bash" key=(null),这两个字段,通过这两个字段我们就知道是什么命令操作了我们的文件或目录。
如果需要删除这条规格,可以使用以下命令,
[root@hsun audit]# auditctl -W /audit/ [root@hsun audit]# auditctl -l No rules
也就是使用小写的w添加规则,大写的W删除规则。
然后就能查看到什么进程动了这个文件。