ausearch 过滤审计日志以仅显示文件中的读取、写入、属性更改

ausearch 过滤审计日志以仅显示文件中的读取、写入、属性更改

我想使用 ausearch (audit) 过滤对 /etc/hosts 文件所做的更改的审计日志。我可以在 ausearch 中看到针对文件的单个修改操作的多个条目,例如 syscall=chmod、syscall=open 等。

请帮助我理解确认文件或其属性发生变化所需的精确过滤器。

答案1

您是否设置了文件监视来监视写入和属性更改?根据
auditctl -a always,exit -F path=/etc/hosts -F perm=wa

通过它,您可以看到谁修改了文件属性或对文件进行了写入。

要查看变化是什么,需要某种文件内容监控功能。

相关内容