设置监控:
auditctl -w /root/dead.letter -p wxa -k "mon_dead"
-w 监控文件路径 /root/dead.letter
-p 监控文件筛选 r(读) w(写) x(执行) a(属性改变)
-k 筛选字符串,用于查询监控日志
设置了监控后,会在/var/log/audit/audit.log里出现日志。
可以用此命令查看日志:
ausearch -f /root/dead.letter -x vim
-k 利用auditctl指定的key查询
-x 执行程序
# ausearch -ts today -k password-file
# ausearch -ts 3/12/07 -k password-file
-ts 指定时间后的log (start time)
-te 指定时间前的log (end time)
auditctl -w /root/dead.letter -p wxa -k "mon_dead"
-w 监控文件路径 /root/dead.letter
-p 监控文件筛选 r(读) w(写) x(执行) a(属性改变)
-k 筛选字符串,用于查询监控日志
设置了监控后,会在/var/log/audit/audit.log里出现日志。
可以用此命令查看日志:
ausearch -f /root/dead.letter -x vim
-k 利用auditctl指定的key查询
-x 执行程序
# ausearch -ts today -k password-file
# ausearch -ts 3/12/07 -k password-file
-ts 指定时间后的log (start time)
-te 指定时间前的log (end time)