我正在尝试使用 auditd 来监视对目录的更改。问题是,当我设置规则时,它会监控我指定的目录,但也会监控所有子目录和文件,因为无休止的冗长,导致监控器无用。
这是我设置的规则:
auditctl -w /home/raven/public_html -p war -k raven-pubhtmlwatch
当我使用搜索日志时
ausearch -k raven-pubhtmlwatch
我得到了数千行日志,列出了 public_html/ 下的所有内容
如何将规则限制为仅对指定目录进行更改?
非常感谢。
手表实际上是变相的系统调用规则。如果您在目录上放置监视,auditctl 会将其变为:
-a exit,always -F dir=/home/raven/public_html -F perm=war -F key=raven-pubhtmlwatch
-F dir 字段是递归的。但是,如果您只想查看目录条目,可以将其更改为 -F 路径。
-a exit,always -F path=/home/raven/public_html -F perm=war -F key=raven-pubhtmlwatch
这不是递归的,只是监视目录占用的 inode。
我不得不手动添加规则:/etc/audit/audit.rules
然后使用重新启动 auditd
/etc/init.d/auditd restart
现在添加了规则,效果很好!所有功劳归功于 Steve @redhat,他在审计邮件列表中回答了我的问题: https ://www.redhat.com/archives/linux-audit/2013-September/msg00057.html