我试图找出哪些进程正在从我的 CentOS 服务器上的特定目录中删除文件。
我查看了inotify,但它只是告诉我发生了多少个文件删除;它并没有告诉我哪个用户运行了哪个进程进行了删除,也没有告诉我删除何时发生。
我也尝试过auditd,但是我在我的服务器上安装它没有成功。
有谁能建议其他可以做到这一点的工具吗?
答案1
auditd 是此处要使用的正确工具,man auditctl 并正确设置规则。一些有用的信息:http://www.nsa.gov/ia/_files/os/redhat/rhel5-guide-i731.pdf