Estou procurando uma maneira de monitorar quando um arquivo/pasta é movido, bem como para onde foi movido.
Até agora, em minha pesquisa, encontrei ferramentas como auditd, watche inotify. Embora essas ferramentas sejam ótimas para monitorar quando um arquivo é movido, elas não monitoram para onde o arquivo foi movido.
Eu também olhei para os syslogs gerados quando um arquivo é movido, mas eles são difíceis de ler/analisar.
Existem ferramentas por aí que podem executar essa função? Ou devo começar a escrever meu próprio roteiro?
Consegui fazer com que a funcionalidade funcionasse
auditd.O comando a seguir monitora
auditctl -a always,exit -F arch=b64 -S rename,rmdir,unlink,unlinkat,renameat -F dir=/path/to/folder/to/monitor -F key=DONT_MOVEA chave pode ser qualquer string de sua escolha e será usada para filtrar os logs de auditoria para essa entrada específica.
auditctlPara persistência, você pode anexar a string acima sem/etc/audit/audit.rules.Para verificar se/para onde a pasta foi movida, execute
ausearch -k DONT_MOVE. Os logs não são muito amigáveis, mas listam o carimbo de data/hora e os caminhos de/para.