在 /var/log/aide/aide.log 的“已更改文件”部分中,每行都有以 f 或 d 开头的前缀。这些表示文件的哪些方面已更改,但我似乎无法找出它们的含义。(显然,我可以在日志文件的下方查看文件的详细数据,但摘要行的明确参考对于 grepping 来说很重要。)
这里有些例子:
f >.p.. mci.CA. .: /etc/passwd-
d =.... mc.. .. .: /bin
f =.... mci.C.. .: /bin/ip
d =.... mc.n A. .: /u1/home
答案1
详细信息请参见aide.conf手册页,为了完整性而在此复制,并且是生成的报告的可配置属性:
summarize_changes是否在报告的已添加、已移除和已更改文件部分汇总更改。有效值为 yes、true、no 和 false。默认为不汇总更改。
一般格式类似于字符串 YlZbpugamcinCAXS,其中是被替换为文件类型(F对于常规文件,d对于目录,大号 对于符号链接,德对于字符设备,乙对于块设备,F 对于 FIFO,s对于 unix 套接字和?否则)。
这是替换如下:A=表示大小没有改变,<报告缩小的尺寸和>报告尺寸增大。
字符串中的其他字母是当项目的关联属性发生更改时将输出的实际字母,或者是“。“ 没有变化,一个 “+“如果已添加该属性,则”-“ 如果已被删除,则显示“:如果该属性在 ignore_list 中列出,则为“ ”,如果该属性尚未被检查,则为“ ”。例外情况是:(1) 新创建的文件将每个字母替换为“+”;(2)被删除的文件将每个字母替换为“-“。
与每个字母相关的属性如下:
- A
l表示链接名称已经改变。- A
b意味着块数已经改变。- A
p意味着权限已经改变。- 一个
u意味着uid已经改变。- A
g意味着 gid 已经改变。- 一个
a意味着访问时间已经改变。- A
m表示修改时间已经改变。- A
c表示变更时间已经改变。- 一个
i意味着 inode 已经改变。- A
n意味着链接数已经改变。- A
C表示一个或多个校验和已发生改变。- A
A意味着访问控制列表已经改变。- A
X意味着扩展属性已经改变。- A
S意味着 SELinux 属性已经改变。