我正在寻找一种方法来监视文件/文件夹何时移动以及移动到何处。
到目前为止,在我的研究中,我遇到过诸如 和 之类的工具auditd。watch虽然inotify这些工具非常适合监视文件何时移动,但它们不会跟踪文件移动到的位置。
我也查看了文件移动时生成的系统日志,但它们很难读取/解析。
有没有可以执行此功能的工具?或者我应该开始编写自己的脚本?
答案1
我能够使用该功能auditd。
以下命令监视
auditctl -a always,exit -F arch=b64 -S rename,rmdir,unlink,unlinkat,renameat -F dir=/path/to/folder/to/monitor -F key=DONT_MOVE
该键可以是您选择的任何字符串,并将用于过滤此特定条目的审计日志。
为了持久性,您可以将上述字符串附加到 而不auditctl添加/etc/audit/audit.rules。
要检查文件夹是否/移动到了哪里,请运行ausearch -k DONT_MOVE。日志不太人性化,但它们确实列出了时间戳和来往路径。