auditctl 监控文件修改

最新推荐文章于 2025-03-16 22:11:09 发布

csdnhadoop

最新推荐文章于 2025-03-16 22:11:09 发布

阅读量6.7k

点赞数

本文链接：https://blog.youkuaiyun.com/csdnhadoop/article/details/51282458

版权

本文介绍如何使用auditctl命令在Linux系统中配置文件监控，通过指定监控路径、操作类型及筛选关键字来实现对特定文件活动的跟踪，并展示了如何查询监控日志。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

设置监控：
auditctl -w /root/dead.letter -p wxa -k "mon_dead"

-w 监控文件路径 /root/dead.letter
-p 监控文件筛选 r(读) w(写) x(执行) a(属性改变)
-k 筛选字符串，用于查询监控日志

设置了监控后，会在/var/log/audit/audit.log里出现日志。
可以用此命令查看日志：
ausearch -f /root/dead.letter -x vim
-k 利用auditctl指定的key查询
-x 执行程序
# ausearch -ts today -k password-file
# ausearch -ts 3/12/07 -k password-file
-ts 指定时间后的log (start time)
-te 指定时间前的log (end time)

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

csdnhadoop

关注关注

0
点赞
踩
7

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

Linux 系统管理和监控命令---- auditctl 命令

redrose2100的博客

12-28

1653

auditctl是 Linux 审计系统（audit system）的一部分，它允许管理员配置审计规则，以跟踪和记录系统活动。这些规则可以帮助你监控对特定文件的访问、追踪特定用户的活动或记录系统调用。以下是auditctl。

linux监控文件变化的程序,在 Linux 下监控程序修改文件

weixin_35478664的博客

05-07

2122

工作中, 有时候我们需要知道某个文件是否被修改了, 被哪个程序修改了. Linux 下可以很方便地监控某个文件被修改的记录. 根据目的不同, Linux 下有不同的监视文件或文件夹的方案.A. AuditdAuditd 可以很方便监控记录哪些程序和用户对指定文件 (即使不存在) 做的操作.安装 auditd一般发行版软件仓库里都会有 auditd 安装包. 如果默认没有安装, 可以很方便地利用包管...

参与评论您还未登录，请先登录后发表或查看评论

linux监控文件操作行为

weixin_40539956的博客

04-15

2145

关键词（key）在这个上下文中是完全自定义的。当你使用 -k 参数在 auditd 规则中指定一个关键词时，这个关键词用于标记和识别与该规则相关的审计事件。这意味着你可以使用任何有意义的字符串作为关键词，以便于后续在审计日志中快速过滤和查找相关事件。-k auth-change 中的 auth-change 是一个自定义关键词，用于标识和过滤与 /etc/pam.d/common-auth 文件更改相关的审计事件。

部署audit监控文件

weixin_41176080的博客

02-12

369

1案例1：部署audit监控文件 1.1问题本案例要求熟悉audit书籍工具的基本使用，完成以下任务操作：使用audit监控/etc/ssh/sshd_config 当该文件发生任何变化即记录日志通过手动和ausearch工具查看日志内容 1.2方案审计的目的是基于事先配置的规则生成日志，记录可能发生在系统上的事件（正常或非正常行为的事件），审计不会为系统提供额外的安全保护，但她会发现...

Linux 中的审计与系统调用（audit、syscall）

最新发布

w1010b的博客

03-16

1239

Linux Audit 是 Linux 内核中的一个子系统，用于记录系统调用和文件访问等事件。通过 Audit，系统管理员可以监控系统中的安全相关事件，如文件访问、用户登录、权限更改等。Audit 提供了强大的日志记录功能，帮助管理员进行安全审计和故障排查。定期分析 Audit 日志可以帮助你及时发现潜在的安全问题，确保系统的安全性。

Linux监听系统文件（二）——auditd

qq_43287763的博客

07-09

704

使用auditd可以记录文件的修改操作，博主采用的就是这种，下面是实例。首先，安装auditd然后，添加一个监控规则来监控这是auditd生成的审计日志输出，描述了之前设置的审计规则被添加的事件。让我们逐步解释每一部分的含义：这些日志条目表明你成功添加了一条审计规则来监视`/etc/locale.conf`文件的更改。接下来，审计日志将记录对这个文件的所有访问和更改。

Linux 审计工具 auditd 命令

huanghjunjun的博客

10-14

1万+

auditd 常用来对文件修改进行监听。

Linux 监控文件被什么进程修改(详解)

09-15

监控文件修改的基本步骤如下： 1. **配置审计规则**：使用`auditctl`命令添加新的监控规则。例如，如果你想要监控`/root/.ssh/authorized_keys`文件，你可以运行以下命令： ```bash sudo auditctl -w /root/.ssh...

linux进程监听文件内容,Linux 监控文件被什么进程修改(详解)

weixin_35286137的博客

04-28

1278

Linux 监控文件被什么进程修改(详解)安装: apt-get install auditd.1.auditd 是后台守护进程，负责监控记录2.auditctl 配置规则的工具3.auditsearch 搜索查看4.aureport 根据监控记录生成报表比如，监控 /root/.ssh/authorized_keys 文件是否被修改过：aditctl -w /root/.ssh/authoriz...

51：系统审计、服务安全、服务安全、 Linux安全之打补丁、总结和答疑

weixin_46575696的博客

11-13

577

CASE Top NSD SECURITY DAY05 案例1：部署audit监控文件案例2：加固常见服务的安全案例3：使用diff和patch工具打补丁 ...

AuditLog配置详解

zmj199536的博客

12-03

9658

介绍 auditLog采用Audit4j进行了简单的封装。配置在applicaton-.yml中添加auditLog的配置，配置参数如下： # auditLog配置 audit4j: db-handler: # auditLog记录时否分表. 对于业务不是很复杂的应用，一般设置成false即可 separate: false # 是否用内置的数据库记录.一般都是用自...

auditctl 审计功能简单设置

weixin_33726313的博客

07-23

1049

敏感目录 /etc/ /tmp/auditctl -w /etc/shadow -p rwxa -k "SHADOW" 创建记录auditctl -l 查看记录条目auditctl -D 清除记录ausearch -k "SHADOW" 查看记录以下规则相同auditctl -w /etc/ -p waauditctl -a exit,always -F dir=/etc/ ...

android日志系统详解

allen_xu_2012_new的博客

05-08

3966

在framework开发过程中，日志是必不可少的一个调试手段。Android通过LOGD、SLOGD和EventLog等方式进行日志的打点。但是日志是如何写入和读取的？开启android日志系统之旅。

Zabbix 数据库表结构说明文档

热门推荐

疯飙的蜗牛

07-01

2万+

Zabbix 数据库表结构说明文档目录 1............................ acknowledges表（空） 2....................................... actions表 3........................................ alerts表 4.................. applicati...

Android P SeLinux语法规则及原理

FeiPeng_的博客

10-18

6813

关于网上有好多类似的文章，然后就是自己再添加和修改了一些，给自己做个笔记。参考这边文章：http://blog.youkuaiyun.com/myarrow/article/details/10105961 概述 KK版本Google 默认启用了SELinux, 并会把SELinux 审查异常打印在kernel log 或者 android log(L 版本)中，对应的关键字是: “avc: denied...

audit详细使用配置

张无忌

05-09

4110

Linux audit通过分析系统上正在发生的细节信息，能够有效帮助您提高系统的安全。但是，它本身不提供额外的安全性保障----它不会保护你的系统免受代码故障或者任何类型的漏洞攻击。Audit服务对跟踪这些安全问题非常有用，并且有效帮助我们采取何种针对性的安全措施。

谁动了我的文件——使用audit监控文件和目录

Blue summer的博客

07-13

1万+

有时候在系统上经常会遇到某个文件不知被谁修改了，或者删除了，又找不到证据，这时候audit就派上用场了。比如我要监控/var/log/test这个目录，可以这样新增一个监控项， [root@CentOS-7-2 /var/log/test]# auditctl -w /var/log/test [root@CentOS-7-2 /var/log/test]# auditctl -l -w...

android 8.1 安全机制 — SEAndroid & SELinux

Cailand的专栏

04-26

524

1. SELinux 背景知识详细了解 Android 8.0 SELinux，可以参阅 Google 官方文档 1.1 DAC 与 MAC 在 SELinux 出现之前，Linux 上的安全模型叫 DAC，全称是 Discretionary Access Control，翻译为自主访问控制。 DAC 的核心思想很简单，就是：进程理论上所拥有的权限与执行它的用户的权限相同。比如，以 ro...

使用auditctl追踪文件变化

weixin_34235457的博客

06-15

714

扔出去的烫手山芋，最后还是会回到自己手上。所以，遇见问题最好的办法不是回避，而是直面。问题描述：通过ftp远程mget下来的文件，用户在使用时发现找不到。ftp日志中有传输记录，ftp脚本中同时用ls命令显示本地文件夹的内容，并且会cp一份到备份目录。根据所有记录，发现文件确定load下来，但是当用户需要使用时，却丢失了。于是，问题来了，有没有办法知道文件是什么时候生成，有谁...

在ubuntu中，如何用audit 监控一个共享内存文件

03-15

- `-p rwxa`：监控读取 (`r`)、写入 (`w`)、执行 (`x`) 和属性更改 (`a`) 操作。 - `-k monitor_shared_memory`：给这条规则设置一个唯一的标识符（key），方便后续查询日志。 ### 步骤 3：查看审计记录当有进程...