是否可以使用 auditctl 监视隐藏文件的创建?Ubuntu 20.04

是否可以使用 auditctl 监视隐藏文件的创建?Ubuntu 20.04

我想监控 中的隐藏文件创建情况/home/user。是否可以创建一条规则,当/home/user使用 文件夹创建任何隐藏文件时触发审计控制?(* 或者任何其他方法?)

答案1

我不确定如何使用 auditd 实现这一点,但隐藏文件只是以点 (.) 符号开头的文件。因此,您可以使用样本实用程序(由 Ubuntu 上的 fswatch 包提供)来监视目录中的任何文件更改。

例如,如果您在 /home/user/test/ 下有一个文件夹,并且您运行:

fswatch -t /home/user/test/

fswatch 现在将监视该文件夹,并在文件创建时发生更新事件,并为您提供时间戳。

我已经创建了 test_file4 文件并收到:

user@ubuntu:~/test$ fswatch -t ~/test
Tue 24 Oct 2023 02:51:41 PM GMT /home/user/test/test_file4
Tue 24 Oct 2023 02:51:42 PM GMT /home/user/test/test_file4
Tue 24 Oct 2023 02:51:42 PM GMT /home/user/test/test_file4
Tue 24 Oct 2023 02:51:42 PM GMT /home/user/test/test_file4

fswatch 具有更多功能,请查看其手册页以根据所需的管道定制其输出。

相关内容