我想使用 ausearch (audit) 过滤对 /etc/hosts 文件所做的更改的审计日志。我可以在 ausearch 中看到针对文件的单个修改操作的多个条目,例如 syscall=chmod、syscall=open 等。
请帮助我理解确认文件或其属性发生变化所需的精确过滤器。
答案1
您是否设置了文件监视来监视写入和属性更改?根据
auditctl -a always,exit -F path=/etc/hosts -F perm=wa
通过它,您可以看到谁修改了文件属性或对文件进行了写入。
要查看变化是什么,需要某种文件内容监控功能。