我已配置auditd 来跟踪系统上的一些敏感文件。现在我希望有一个脚本,每次auditd 写入一行时都会调用该脚本,$1该脚本的参数是添加的行。
根据我在手册中读到的内容,auditd 没有这样的选项。
无论如何,有办法做到这一点吗?
如果我每分钟运行一个 cron 脚本,我将在定义它应该在哪些行上工作时遇到问题(哪些行是新的?如果有的话?)
答案1
像这样使用 tail 命令:
tail -Fn0 /var/log/audit/audit.log | /sbin/script
就像/sbin/script这样:
while IFS= read -r line; do
#something to do with $line variable when it comes
done