auditctl 监控文件修改

最新推荐文章于 2025-05-31 23:19:37 发布
最新推荐文章于 2025-05-31 23:19:37 发布
阅读量6.7k 收藏 7
点赞数
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/csdnhadoop/article/details/51282458
本文介绍如何使用auditctl命令在Linux系统中配置文件监控,通过指定监控路径、操作类型及筛选关键字来实现对特定文件活动的跟踪,并展示了如何查询监控日志。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

设置监控:
auditctl  -w /root/dead.letter -p wxa -k "mon_dead"


-w 监控文件路径 /root/dead.letter 
-p 监控文件筛选 r(读) w(写) x(执行) a(属性改变)
-k 筛选字符串,用于查询监控日志




设置了监控后,会在/var/log/audit/audit.log里出现日志。
可以用此命令查看日志:
ausearch -f /root/dead.letter -x vim
-k  利用auditctl指定的key查询
-x  执行程序
# ausearch -ts today -k password-file
# ausearch -ts 3/12/07 -k password-file
-ts 指定时间后的log (start time)
-te 指定时间前的log (end time)
csdnhadoop
关注
Linux: audit;如何知道有哪一个程序访问了某个文件auditctl
mzhan017的博客
10-23 526
就是使用systemtap提高的功能,监听具体的文件操作函数。第二个方法,需要准备相应的脚本,编译环境,有些麻烦。第一个放到,使用audit,这个比较方便使用;如何知道有哪一个程序访问了某个文件
文件修改状态监控
01-16
手动监控指定文件夹,可将修改过的文件导出到压缩包,并支持在mac上还原(增量还原)
监视文件修改
weixin_30477797的博客
04-17 153
今天在改进文件监视程序时写的框架代码,监视文件修改(采用完成端口和ReadDirectoryChangesW同时在一个线程中监视多个目录,并且能够判断文件是否完全复制完毕) #define STRICT #define WINVER 0x0500 #define _WIN32_WINNT 0x0500 #define _WIN32_IE...
Linux命令之ausearch命令
最新发布
月生的静心苑
05-31 900
ausearch是Linux审计系统(auditd)的关键工具,用于搜索和分析审计日志。本文介绍了其安装方法(Ubuntu/centos系统)、常用命令示例(如按用户、命令文件等条件搜索),详细解析了命令语法及参数,并演示了如何通过auditctl添加监控规则(如监控敏感文件访问、sudo命令等)以及查询生成的日志。文章还包含模拟测试和规则清理操作,为系统管理员提供了一套完整的审计日志分析与监控方案,有助于追踪安全事件和系统异常行为。
监控文件是否被修改
weixin_34034670的博客
11-27 921
前言涉及命令:md5sum命令详解: linux 下 shell命令 ,制作md5码也用于软件的md5校验.MD5算法常常被用来验证网络文件传输的完整性,防止文件被人篡改。MD5全称是报文摘要算法(Message-Digest Algorithm 5),此算法对任意长度的信息逐位进行计算,产生一个二进制长度为128位(十六进制长度就是32位)的“指纹”(或称“报文摘要”...
FindFirstChangeNotification监控文件修改
weixin_30718391的博客
07-05 282
13:06 2013-06-28FindFirstChangeNotification功能7出11的评价是有帮助- 为这个主题创建一个变更通知手柄,并设置初始变更通知过滤条件。等待通知手柄成功符合过滤条件发生变化时,在指定的目录或子树。该功能不报告到指定目录本身的变化。此功能并不表示满足等待条件的变化。要检索信息通知的具体变化的一部分,使用 的ReadDirectoryChangesW函数。句法C...
文件修改监控软件
07-21
可以监视计算机系统中文件的删除、修改、重命名、编辑等功能,并可以实现用户的个性化选择
Linux 监控文件被什么进程修改(详解)
09-15
监控文件修改的基本步骤如下: 1. **配置审计规则**:使用`auditctl`命令添加新的监控规则。例如,如果你想要监控`/root/.ssh/authorized_keys`文件,你可以运行以下命令: ```bash sudo auditctl -w /root/.ssh...
linux监控文件操作行为
weixin_40539956的博客
04-15 2257
关键词(key)在这个上下文中是完全自定义的。当你使用 -k 参数在 auditd 规则中指定一个关键词时,这个关键词用于标记和识别与该规则相关的审计事件。这意味着你可以使用任何有意义的字符串作为关键词,以便于后续在审计日志中快速过滤和查找相关事件。-k auth-change 中的 auth-change 是一个自定义关键词,用于标识和过滤与 /etc/pam.d/common-auth 文件更改相关的审计事件。
linux监控文件变化的程序,在 Linux 下监控程序修改文件
weixin_35478664的博客
05-07 2151
工作中, 有时候我们需要知道某个文件是否被修改了, 被哪个程序修改了. Linux 下可以很方便地监控某个文件修改的记录. 根据目的不同, Linux 下有不同的监视文件文件夹的方案.A. AuditdAuditd 可以很方便监控记录哪些程序和用户对指定文件 (即使不存在) 做的操作.安装 auditd一般发行版软件仓库里都会有 auditd 安装包. 如果默认没有安装, 可以很方便地利用包管...
Windows文件变更监控
热门推荐
sulliy的专栏
08-01 1万+
有的时候需要在新建、修改和删除文件时执行一些操作,这就需要监控文件的变更。http://zhanyonhu.blog.163.com/blog/static/16186044200882484143208/提出了3种方法来实现: 1. 函数FindFirstChangeNoti
「运维有小邓」监控文件文件夹变更
运维有小邓
06-27 366
获取有关谁更改了哪个文件文件夹、何时和从何处跨越Windows文件服务器、故障转移集群、NetApp和EMC环境的信息。
使用360文档卫士监控文件修改操作
wwwwestcn的博客
12-21 445
使用360文档卫士监控文件修改操作 工具名称:360文档卫士 下载地址:360文档卫士 功能:在程序部署安装前后 ,或在清理程序挂马后 ,通过添加所需监控文件后缀,以达到对相应后缀文件修改监控作用,配合其他安全防护软件共同使用,如云锁(help.yunsuo.com.cn) 或 火绒 (火绒安全)。 如何使用: 下载安装后参考以下截图操作: 使用效果: 如下图在2020年3月11日下午17点创建了 ...
监控文件夹内文件的增删改变化
学习小组
01-19 3342
监控文件夹内文件变动
如何监控目录、文件的更改
冰峰 的专栏
10-12 856
    监控目录、文件的更改是比较常的功能之一,CodeProject上有典型的例子,地址如下:    http://www.codeproject.com/KB/files/directorychangewatcher.aspx    有空再整理。
部署audit监控文件
weixin_41176080的博客
02-12 380
1案例1:部署audit监控文件 1.1问题 本案例要求熟悉audit书籍工具的基本使用,完成以下任务操作: 使用audit监控/etc/ssh/sshd_config 当该文件发生任何变化即记录日志 通过手动和ausearch工具查看日志内容 1.2方案 审计的目的是基于事先配置的规则生成日志,记录可能发生在系统上的事件(正常或非正常行为的事件),审计不会为系统提供额外的安全保护,但她会发现...
Linux 系统管理和监控命令---- auditctl 命令
redrose2100的博客
12-28 1717
auditctl是 Linux 审计系统(audit system)的一部分,它允许管理员配置审计规则,以跟踪和记录系统活动。这些规则可以帮助你监控对特定文件的访问、追踪特定用户的活动或记录系统调用。以下是auditctl
Linux监听系统文件(二)——auditd
qq_43287763的博客
07-09 822
使用auditd可以记录文件修改操作,博主采用的就是这种,下面是实例。首先,安装auditd然后,添加一个监控规则来监控这是auditd生成的审计日志输出,描述了之前设置的审计规则被添加的事件。让我们逐步解释每一部分的含义:这些日志条目表明你成功添加了一条审计规则来监视`/etc/locale.conf`文件的更改。接下来,审计日志将记录对这个文件的所有访问和更改。
Linux 审计工具 auditd 命令
huanghjunjun的博客
10-14 1万+
auditd 常用来对文件修改进行监听。
auditctl
05-30
### auditctl 使用指南与配置示例 #### 1. auditctl 简介 `auditctl` 是 Linux 审计系统中的一个命令行工具,用于配置审计规则和管理审计行为。通过 `auditctl`,可以定义需要监控文件、目录或系统调用,并记录相关的操作事件。 #### 2. 基本语法 `auditctl` 的基本语法如下: ```bash auditctl [选项] [参数] ``` 常见的选项包括: - `-a`: 添加规则到规则列表中。 - `-d`: 删除规则。 - `-w`: 监控特定文件或目录。 - `-k`: 为规则指定一个键值(key),方便后续查询。 - `-l`: 列出当前的审计规则。 #### 3. 配置示例 ##### 示例 1:监控关键文件 `/etc/passwd` 以下命令监控 `/etc/passwd` 文件的写入和属性更改操作: ```bash auditctl -w /etc/passwd -p wa -k passwd_changes ``` - `-w /etc/passwd`: 指定要监控文件。 - `-p wa`: 监控写入 (`w`) 和属性更改 (`a`) 操作。 - `-k passwd_changes`: 为规则指定一个键值,便于后续使用 `ausearch` 或 `aureport` 查询。 ##### 示例 2:监控特定系统调用 以下命令监控所有 `execve` 系统调用: ```bash auditctl -a always,exit -S execve -F key=execve_calls ``` - `-a always,exit`: 在系统调用退出时记录日志。 - `-S execve`: 指定监控的系统调用为 `execve`。 - `-F key=execve_calls`: 为规则指定一个键值。 ##### 示例 3:监控用户登录活动 以下命令监控用户的登录和注销操作: ```bash auditctl -w /var/log/wtmp -p wa -k logins ``` - `-w /var/log/wtmp`: 指定要监控文件。 - `-p wa`: 监控写入和属性更改操作。 - `-k logins`: 为规则指定一个键值。 ##### 示例 4:限制规则的应用范围 以下命令监控 UID 为 0 的用户执行的 `unlink` 操作: ```bash auditctl -a always,exit -S unlink -F auid=0 -k delete_files ``` - `-S unlink`: 指定监控的系统调用为 `unlink`。 - `-F auid=0`: 仅监控 UID 为 0 的用户。 - `-k delete_files`: 为规则指定一个键值。 #### 4. 查看和删除规则 ##### 查看当前规则 使用以下命令查看当前配置的审计规则: ```bash auditctl -l ``` ##### 删除规则 以下命令删除与键值 `passwd_changes` 相关的规则: ```bash auditctl -d always,exit -w /etc/passwd -p wa -k passwd_changes ``` #### 5. 日志分析 `auditctl` 配置的规则会生成日志,存储在 `/var/log/audit/audit.log` 文件中。可以使用 `ausearch` 或 `aureport` 工具分析这些日志。 例如,查找与键值 `passwd_changes` 相关的日志: ```bash ausearch -k passwd_changes ``` #### 注意事项 - 配置规则时应尽量避免过多的规则,以免影响系统性能。 - 规则的优先级由其添加顺序决定,建议定期优化规则集[^1]。 ```python # 示例代码:列出
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值