情况

Question 1

您应该能够使用auditd（尽管这取决于您的 Linux 发行版是否可用）。

该auditctl命令用于配置审核，手册页应描述如何实现您的需要。

就像是，

auditctl -w /home/foo -p war -k foo-watch

然后您可以稍后使用以下命令搜索审核日志：

ausearch -k foo-watch

在 SUSE 上执行此操作的示例可以是在这里找到。

Answer

您应该能够使用auditd（尽管这取决于您的 Linux 发行版是否可用）。

该auditctl命令用于配置审核，手册页应描述如何实现您的需要。

就像是，

auditctl -w /home/foo -p war -k foo-watch

然后您可以稍后使用以下命令搜索审核日志：

ausearch -k foo-watch

在 SUSE 上执行此操作的示例可以是在这里找到。

Question 2

我不知道它是否在 SuSE 中启用，但是扇通知api 监视整个文件系统。甚至还有一个简单的实用程序法特拉斯这将显示每个文件被打开、读取、写入、关闭。例子

$ cd; sudo fatrace -f O -c 
tail(1500): CO /home/meuh/dot/privoxy/logs/160426
ls(28599): O /home/meuh
bash(2075): O /home/meuh/dot/bashhistory.xt-right

-f O只是跟踪打开情况，以及跟踪-c保存当前工作目录的整个文件系统。您也可以选择获取时间戳。

Answer

我不知道它是否在 SuSE 中启用，但是扇通知api 监视整个文件系统。甚至还有一个简单的实用程序法特拉斯这将显示每个文件被打开、读取、写入、关闭。例子

$ cd; sudo fatrace -f O -c 
tail(1500): CO /home/meuh/dot/privoxy/logs/160426
ls(28599): O /home/meuh
bash(2075): O /home/meuh/dot/bashhistory.xt-right

-f O只是跟踪打开情况，以及跟踪-c保存当前工作目录的整个文件系统。您也可以选择获取时间戳。

Question 3

我可以看到几种方法：

如果包含 /home/foo 的文件系统使用 atime（或文件系统类型的等效值）挂载，则可以使用 atimefind /home/foo -atime +10 -ls查看其文件是否在 11 天内被访问过
或者如果您喜欢“戳”一下，看看是否现在在这个目录下访问了一些东西：lsof | grep /home/foo应该给你一些线索（测试：： cd /home/foo ; lsof | grep /home/foo应该至少输出你的shell的pid，因为它现在在该路径下有它的cwd（当前工作目录）...）

（注：我现在无法测试两者，手头没有linux...但我认为两者都应该可以工作）

Answer

我可以看到几种方法：

如果包含 /home/foo 的文件系统使用 atime（或文件系统类型的等效值）挂载，则可以使用 atimefind /home/foo -atime +10 -ls查看其文件是否在 11 天内被访问过
或者如果您喜欢“戳”一下，看看是否现在在这个目录下访问了一些东西：lsof | grep /home/foo应该给你一些线索（测试：： cd /home/foo ; lsof | grep /home/foo应该至少输出你的shell的pid，因为它现在在该路径下有它的cwd（当前工作目录）...）

（注：我现在无法测试两者，手头没有linux...但我认为两者都应该可以工作）

情况

情况

目标

目前的策略

为什么不使用inotify

问题

环境

不重复

赏金

答案1

答案2

答案3

相关内容