我的 RHEL 9 服务器上有一个文件夹每隔几天就会被删除一次,但我不知道是哪个进程或用户造成的。
我想记录与该文件夹相关的所有事件,特别是删除事件。
我遇到了一个名为 auditd 的工具,它似乎可以提供帮助,但我不确定如何配置它来监视这个特定的文件夹。
auditd 是否是此任务的最佳选择,或者是否有更好的工具或脚本可用于跟踪和记录删除?
这样够了吗?
auditctl -w /path/to/myfolder -p rwa -k rule_watch_folder
AskOverflow.Dev
auditd对于您在 RHEL 上检测和记录文件删除的用例,
auditd这是正确的选择,它很强大、已经可用并且安全。添加监视规则:
sudo auditctl -w /path/to/myfolder/ -p wa -k folder_monitor-w- 观察路径-p wa- 仅监控写入和属性更改,包括删除-k- folder_monitor` - 识别日志中的事件在 Linux 上监视/审计文件删除
如何使用 auditd 监控 Linux 中的文件删除?
确保 auditd 收集用户的文件删除事件
7.5. 定义审计规则
在同一路径上添加多个监视规则
在 Centos7 上生成 /etc/audit/audit.rules 的正确方法是什么?
auditd(8) - Linux 手册页
使规则持久化并重新启动
auditd。inotifywait如果您喜欢更简单的东西,您可以使用,
inotifywait但它不太强大。如何使用 inotifywait 监视目录以创建特定扩展名的文件
如何使用 inotifywait 等待文件创建并写入内容并超时
inotifywait(1) - Linux 手册页
auditbeat还有
auditbeat,它更灵活并与 ELK 堆栈集成,但更重并且不是 RHEL 的默认设置。github | beats/auditbeat/auditbeat.yml
使用Auditbeat收集系统审计数据并监控文件变化
只需尝试并测试这三种方法,然后自行决定哪一种最适合您。