我想监控 中的隐藏文件创建情况/home/user。是否可以创建一条规则,当/home/user使用 文件夹创建任何隐藏文件时触发审计控制?(* 或者任何其他方法?)
答案1
我不确定如何使用 auditd 实现这一点,但隐藏文件只是以点 (.) 符号开头的文件。因此,您可以使用样本实用程序(由 Ubuntu 上的 fswatch 包提供)来监视目录中的任何文件更改。
例如,如果您在 /home/user/test/ 下有一个文件夹,并且您运行:
fswatch -t /home/user/test/
fswatch 现在将监视该文件夹,并在文件创建时发生更新事件,并为您提供时间戳。
我已经创建了 test_file4 文件并收到:
user@ubuntu:~/test$ fswatch -t ~/test
Tue 24 Oct 2023 02:51:41 PM GMT /home/user/test/test_file4
Tue 24 Oct 2023 02:51:42 PM GMT /home/user/test/test_file4
Tue 24 Oct 2023 02:51:42 PM GMT /home/user/test/test_file4
Tue 24 Oct 2023 02:51:42 PM GMT /home/user/test/test_file4
fswatch 具有更多功能,请查看其手册页以根据所需的管道定制其输出。