这可能很简单,但我似乎无法用 Google 搜索到它。基本上,我们有一个 NFS 文件夹,我正在尝试为其设置文件系统监控/日志记录 - 哪个用户在哪台机器上添加文件、删除文件等。
不确定如何解决这个问题,如果能提供任何帮助我将不胜感激。
答案1
如果你控制客户端,并且它们是基于 Linux 的主机,那么收集该信息的一个选项是使用审计。您需要更新/etc/audit/audit.rules在每个客户端上 autid nfs 挂载点,例如:
-w /nfs-mount -p wa -k nfs
/nfs-mount
挂载点在哪里以及nfs
搜索事件时使用的关键是什么:
# ausearch -k test
不幸的是,auditd 不适用于服务器,您需要更复杂的解决方案,例如数据包捕获。这是显示创建文件的用户的 uid 的示例:
# tshark -i any -f "port 2049" -Y "nfs.open.opentype == 1" \
-o nfs.file_name_snooping:true \
-o nfs.file_full_name_snooping:true \
-T fields -e rpc.auth.uid -e nfs.name