zoukankan      html  css  js  c++  java
  • Linux 文件监控之谁动了我的奶酪

    有时候配置文件会被莫名其妙的修改,但是找不到修改他的进程,从而无法抓住罪魁祸首,这时候就诞生了摄像头。呃呃,应该是audit

    比如我要监控一个文件test.txt

    [root@hsun /]# auditctl -w /audit/
    [root@hsun /]# auditctl -l
    (null): exit,always dir=/audit perm=rwxa

    查询确认有规则添加。

    然后再audit目录创建test.txt,向文件写内容。

    [root@hsun audit]# ausearch -f  test.txt 
    ----
    time->Fri Jul 26 19:05:08 2019
    type=UNKNOWN[1327] msg=audit(1564139108.755:28268): proctitle=746F75636800746573742E747874
    type=PATH msg=audit(1564139108.755:28268): item=1 name="test.txt" inode=10732836 dev=fd:00 mode=0100644 ouid=0 ogid=0 rdev=00:00 objtype=CREATE
    type=PATH msg=audit(1564139108.755:28268): item=0 name="/audit" inode=10732835 dev=fd:00 mode=040755 ouid=0 ogid=0 rdev=00:00 objtype=PARENT
    type=CWD msg=audit(1564139108.755:28268):  cwd="/audit"
    type=SYSCALL msg=audit(1564139108.755:28268): arch=c000003e syscall=2 success=yes exit=3 a0=7fffec3dd1ba a1=941 a2=1b6 a3=7fffec3dad40 items=2 ppid=2797 pid=119962 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 ses=14 comm="touch" exe="/usr/bin/touch" key=(null)

    ...
    ...
    ...
    time->Fri Jul 26 19:05:20 2019 type=UNKNOWN[1327] msg=audit(1564139120.915:28325): proctitle="-bash" type=PATH msg=audit(1564139120.915:28325): item=1 name="test.txt" inode=10732838 dev=fd:00 mode=0100644 ouid=0 ogid=0 rdev=00:00 objtype=NORMAL type=PATH msg=audit(1564139120.915:28325): item=0 name="/audit" inode=10732835 dev=fd:00 mode=040755 ouid=0 ogid=0 rdev=00:00 objtype=PARENT type=CWD msg=audit(1564139120.915:28325): cwd="/audit" type=SYSCALL msg=audit(1564139120.915:28325): arch=c000003e syscall=2 success=yes exit=3 a0=24cab90 a1=441 a2=1b6 a3=0 items=2 ppid=2795 pid=2797 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 ses=14 comm="bash" exe="/usr/bin/bash" key=(null) [root@hsun audit]#

    我们主要关注里面的 comm="bash" exe="/usr/bin/bash" key=(null),这两个字段,通过这两个字段我们就知道是什么命令操作了我们的文件或目录。

    如果需要删除这条规格,可以使用以下命令,

    [root@hsun audit]# auditctl -W /audit/
    [root@hsun audit]# auditctl -l
    No rules

    也就是使用小写的w添加规则,大写的W删除规则。

    然后就能查看到什么进程动了这个文件。

  • 相关阅读:
    视图、触发器、事物、存储过程、函数、流程控制
    pymysql
    单表查询与多表查询
    多线程学习(第三天)线程间通信
    多线程学习(第二天)Java内存模型
    多线程学习(第一天)java语言的线程
    springboot集成es7(基于high level client)
    elasticSearch(六)--全文搜索
    elasticSearch(五)--排序
    elasticSearch(四)--结构化查询
  • 原文地址:https://www.cnblogs.com/despotic/p/11252287.html
Copyright © 2011-2022 走看看