Por que o Linux estaria matando meu processo?

Question

executable

Asked: 2025-04-24 15:47:50 +0800 CST2025-04-24 15:47:50 +0800 CST 2025-04-24 15:47:50 +0800 CST

Como registrar um evento em um diretório (exclusão)

Tenho uma pasta no meu servidor RHEL 9 que é excluída a cada poucos dias, mas não sei qual processo ou usuário é responsável.

Gostaria de registrar todos os eventos relacionados a esta pasta, especialmente exclusões.

Encontrei uma ferramenta chamada auditd, que parece ajudar, mas não tenho certeza de como configurá-la para monitorar essa pasta específica.

O auditd é a melhor opção para essa tarefa ou existe uma ferramenta ou script melhor que eu possa usar para rastrear e registrar exclusões?

Isso é suficiente?

auditctl -w /path/to/myfolder -p rwa -k rule_watch_folder

ReflectYourCharacter · Answer 1 · 2025-04-24T17:06:43+08:00

Para seu caso de uso de detecção e registro de exclusões de arquivos no RHEL, auditdé a escolha certa, é robusto, já está disponível e seguro.

Adicione uma regra de observação:

sudo auditctl -w /path/to/myfolder/ -p wa -k folder_monitor

Autitd produz logs, syslog e journald os coletam

Torne a regra persistente e reinicie auditd.

Se preferir algo mais simples, você pode usar, inotifywaitmas é menos robusto.

Há também auditbeato , que é mais flexível e se integra com a pilha ELK, mas é mais pesado e não é padrão no RHEL.

Experimente testar todos os três e decida qual funciona melhor para você.