我对查看谁访问了文件有一些疑问。
我发现有一些方法可以通过审计子系统和 inotify 查看文件是否被访问(未修改/更改)。
然而,根据我在网上阅读的内容,根据这里: http://www.cyberciti.biz/tips/linux-audit-files-to-see-who-made-changes-to-a-file.html
它说“监视/监视”文件,我必须使用如下命令设置监视:
# auditctl -w /etc/passwd -p war -k password-file
因此,如果我创建一个新文件或目录,是否必须使用audit/inotify命令首先“设置”监视以“监视”谁访问了新文件?
还有一种方法可以知道目录是否正在通过审计子系统或 inotify 进行“监视”?如何/在哪里可以检查文件的日志?
编辑:
通过进一步的谷歌搜索,我发现这个页面说: http://www.kernel.org/doc/man-pages/online/pages/man7/inotify.7.html
inotify API 不提供有关触发 inotify 事件的用户或进程的信息。
所以我想这意味着我无法弄清楚哪个用户访问了文件?只有审计子系统才能找出谁访问了文件?
答案1
来自审计子系统的日志基于路径。即使该文件不存在,您也可以对文件名进行监视。如果文件被创建和访问,您将获得日志条目。
所有日志auditd都保存在一个文件中(通常/var/log/audit/auditd.log)。
您可以使用 列出审计规则auditctl -l。