谁动了我的文件——使用audit监控文件和目录

最新推荐文章于 2024-05-14 00:03:14 发布
最新推荐文章于 2024-05-14 00:03:14 发布
阅读量1.1w 收藏 12
点赞数 1
分类专栏: Linux 文章标签: audit auditctl ausearch
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010039418/article/details/81038744
版权

有时候在系统上经常会遇到某个文件不知被谁修改了,或者删除了,又找不到证据,这时候audit就派上用场了。

比如我要监控/var/log/test这个目录,可以这样新增一个监控项,

[root@CentOS-7-2 /var/log/test]# auditctl -w /var/log/test
[root@CentOS-7-2 /var/log/test]# auditctl -l
-w /var/log/test/ -p rwxa
[root@CentOS-7-2 /var/log/test]#

查询确认有规则添加。

接下来我们在该目录使用touch命令生成my.txt这个文件,然后再删除它,模拟别人操作该文件。

[root@CentOS-7-2 /var/log/test]# ls
.  ..
[root@CentOS-7-2 /var/log/test]# touch my.txt
[root@CentOS-7-2 /var/log/test]# ls
.  ..  my.txt
[root@CentOS-7-2 /var/log/test]# rm -rf my.txt 
[root@CentOS-7-2 /var/log/test]# ls
.  ..
[root@CentOS-7-2 /var/log/test]#

这些操作audit都是有记录的,可以使用ausearch这个配套命令来查找相关记录,命令如下,

[root@CentOS-7-2 /var/log/test]# ausearch -f my.txt
----
time->Fri Jul 13 22:56:23 2018
type=PATH msg=audit(1531493783.645:797): item=0 name="my.txt" inode=69419422 dev=08:03 mode=0100644 ouid=0 ogid=0 rdev=00:00 objtype=NORMAL
type=CWD msg=audit(1531493783.645:797):  cwd="/var/log/test"
type=SYSCALL msg=audit(1531493783.645:797): arch=c000003e syscall=191 success=no exit=-61 a0=7ffeaaa8af70 a1=7f1d8703f114 a2=7ffeaaa8af30 a3=14 items=1 ppid=9251 pid=9328 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 ses=88 comm="ls" exe="/usr/bin/ls" key=(null)
----
time->Fri Jul 13 22:56:22 2018
type=PATH msg=audit(1531493782.346:795): item=1 name="my.txt" inode=69419422 dev=08:03 mode=0100644 ouid=0 ogid=0 rdev=00:00 objtype=CREATE
type=PATH msg=audit(1531493782.346:795): item=0 name="/var/log/test" inode=69419417 dev=08:03 mode=040755 ouid=0 ogid=0 rdev=00:00 objtype=PARENT
type=CWD msg=audit(1531493782.346:795):  cwd="/var/log/test"
type=SYSCALL msg=audit(1531493782.346:795): arch=c000003e syscall=2 success=yes exit=3 a0=7ffd739db862 a1=941 a2=1b6 a3=7ffd739d9af0 items=2 ppid=9251 pid=9327 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 ses=88 comm="touch" exe="/usr/bin/touch" key=(null)
----
time->Fri Jul 13 22:56:30 2018
type=PATH msg=audit(1531493790.088:803): item=1 name="my.txt" inode=69419422 dev=08:03 mode=0100644 ouid=0 ogid=0 rdev=00:00 objtype=DELETE
type=PATH msg=audit(1531493790.088:803): item=0 name="/var/log/test" inode=69419417 dev=08:03 mode=040755 ouid=0 ogid=0 rdev=00:00 objtype=PARENT
type=CWD msg=audit(1531493790.088:803):  cwd="/var/log/test"
type=SYSCALL msg=audit(1531493790.088:803): arch=c000003e syscall=263 success=yes exit=0 a0=ffffffffffffff9c a1=c1b0c0 a2=0 a3=7fff3824f120 items=2 ppid=9251 pid=9331 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 ses=88 comm="rm" exe="/usr/bin/rm" key=(null)
[root@CentOS-7-2 /var/log/test]#

我们主要关注里面的comm=”rm” exe=”/usr/bin/rm”,这两个字段,通过这两个字段我们就知道是什么命令操作了我们的文件或目录。同时也可以看下pid这个字段,如果这个进程还在的话,那就可以直接看出是哪个进程操作的了。妖怪,看你往哪逃。

如果需要删除这条规格,可以使用以下命令,

[root@CentOS-7-2 /var/log/test]# auditctl -l
-w /var/log/test/ -p rwxa
[root@CentOS-7-2 /var/log/test]# auditctl -W /var/log/test
[root@CentOS-7-2 /var/log/test]# auditctl -l
No rules
[root@CentOS-7-2 /var/log/test]#

也就是使用小写的w添加规则,大写的W删除规则。

通过这一功能,在大多时候都能确定是谁动了我的文件,屡试不爽。

Blue summer
关注
  • 1
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Linux 系统管理和监控命令---- auditctl 命令
redrose2100的博客
12-28 1054
auditctlLinux 审计系统(audit system)的一部分,它允许管理员配置审计规则,以跟踪和记录系统活动。这些规则可以帮助你监控对特定文件的访问、追踪特定用户的活动或记录系统调用。以下是auditctl
linux auditd规则存储文件,inotify与Auditd实现文件操作记录和审计
weixin_31688873的博客
05-13 682
业务反馈现网某个目录下的文件发现两次被删除,不过没有具体的删除时间,也不知道是被什么程序删除的,所以提出一个需求是希望通过监控目录下的相关文件,一旦发现被删除后,可以通过记录写到logfile里 。最初想到的是通过 inotify 功能实现记录,后来发现auditd记录的信息更详细一些,这里分别说下两种实现方法 。一、inotifynotify是Linux内核2.6.13 (June 18, 2...
2024年最全文件监控之FileSystemWatcher(c++)_c+,C C++面试总结
最新发布
2401_84976408的博客
05-14 291
/创建一个FileSystemWatcher并设置它的属性.
谁动了我的文件
weixin_33722405的博客
10-07 136
谁动了我的文件?一、事件背景本文描述了IT经理小李在一起广告公司文件泄露的案件中,通过对交换机、服务器日志和邮件信头进行分析,利用多方面日志内容验证了他的推测,最后他将这些蛛丝马迹汇总起来,勾勒出了这次***事件的完整过程。大家在看完事件的描述后,是否知道在FTP和SSH日志中找到了什么线索?下面故事开始啦。 故事主人公小李在一家渲染农场(Render Farm)电影特效公司上班,前不久刚刚被提升...
谁动了我的文件--文件权限管理
Adambee08的博客
01-06 261
这篇文章首发于我的博客,转载可注明出处。 这篇文章会讲述文件权限相关的内容,并告诉你为什么会出现“permission deny”和如何解决这个问题。 文件属性和文件权限 在谈文件权限之前我们先在终端键入ls -l,看看会发生什么。 $ ls -l total 40 -rw-r--r-- 1 adambee staff 589 12 9 11:28 asset-
到底谁动了我的文件?-- 利用systemstap实现lsof功能
xie110dong的专栏
10-13 195
1、问题: 工程实践中,总是会出现一种情况:我的配置文件莫名其妙的被修改了,但是,具体是被用户修改了?还是因为bug被工程中代码修改了?不得而知。 2、思路: 1)一般来说,我们可以通过lsof命令去跟踪到底是谁动了我的配置文件。例如: lsof config.xml 但是,如果执行命令时,在此时此刻,修改者没有触碰config.xml,那么lsof是捕捉不到他的。 2)进阶版就是利用watch命令,定时追踪,例如: nwatch -n 1 "lsof config.xml" 但
通过audit监控某个文件的写操作
llxx1234的博客
05-27 973
按照下面的步骤可以增加对某个文件写操作的监控, 1、vi /etc/audit/rules.d/audit.rules在最后一行加入一行 -w 文件名字 -p w -k 别名(test) 2、 执行service auditd restart 3、获取监控结果,有两种方法 cat /var/log/audit/audit.log |grep test au...
部署audit监控文件
weixin_41176080的博客
02-12 292
1案例1:部署audit监控文件 1.1问题 本案例要求熟悉audit书籍工具的基本使用,完成以下任务操作: 使用audit监控/etc/ssh/sshd_config 当该文件发生任何变化即记录日志 通过手动和ausearch工具查看日志内容 1.2方案 审计的目的是基于事先配置的规则生成日志,记录可能发生在系统上的事件(正常或非正常行为的事件),审计不会为系统提供额外的安全保护,但她会发现...
server_audit.zip
11-03
在MySQL或MariaDB服务器上启用审计插件,首先需要加载动态库`server_audit.so`,这个文件通常位于MySQL的lib目录下。然后在MySQL的配置文件(如my.cnf)中添加以下行: ```sql plugin-load-add=audit_log.so ``` ...
audit_tree.rar_Will
09-24
在IT领域,数据管理和安全是至关重要的,而"audit_tree.rar_Will"这个文件似乎涉及到了一种特定的数据审核机制——审计树(Audit Tree)。审计树是一种用于跟踪和记录系统操作的结构,尤其在权限管理、安全审计和...
aushape:将审核日志转换为XML和JSON的库和工具
02-06
`aushape` 是一个专为处理审计日志而设计的开源库和工具,其主要功能是将审计日志数据转换为两种常见的数据交换格式——XML(可扩展标记语言)和JSON(JavaScript对象表示法)。在IT行业中,审计日志是用于记录系统...
PyPI 官网下载 | sqlalchemy-postgresql-audit-0.3.0.tar.gz
01-16
总结,`sqlalchemy-postgresql-audit-0.3.0.tar.gz`这个压缩包包含了一个用于PostgreSQL数据库审计的Python库,它利用SQLAlchemy的强大功能,为开发者提供了一种优雅的方式来监控和记录数据库中的变动。这个库在需要...
PyPI 官网下载 | dj_audit-0.0.7-py3-none-any.whl
02-03
在Python的生态系统中,PyPI(Python Package Index)是官方的第三方软件包...使用它可以帮助开发者更好地监控和理解他们的应用程序,从而提高系统的稳定性和安全性。为了充分利用这个库,进一步的研究和实践是必要的。
使用audit工具常规命令监控系统访问文件
weixin_33915554的博客
10-26 951
audit工具的作用 audit工具可以对文件使用进行监控,可以监控是哪个进程对文件进行读写执行和atrribute属性修改。在常规运维中有很多作用。 audit工具的安装和启动 Ubuntu使用apt-get audit。centos使用yum install audit 下面命令enable和启动、停止a...
Linux 审计工具 auditd 命令
热门推荐
huanghjunjun的博客
10-14 1万+
auditd 常用来对文件修改进行监听。
Linux: audit;如何知道有哪一个程序访问了某个文件auditctl
mzhan017的博客
10-23 344
就是使用systemtap提高的功能,监听具体的文件操作函数。第二个方法,需要准备相应的脚本,编译环境,有些麻烦。第一个放到,使用audit,这个比较方便使用;如何知道有哪一个程序访问了某个文件
Linux-Audit审计解析
qq_38135115的博客
02-20 4548
前言 Linux auditd 工具可以将审计记录写入日志文件。包括记录系统调用和文件访问。管理员可以检查这些日志,确定是否存在安全漏洞。本文首先介绍用户空间审计系统的结构,然后介绍主要的 audit 工具的使用方法。 Linux 用户空间审计系统简介 Linux 内核有用日志记录事件的能力,包括记录系统调用和文件访问。管理员可以检查这些日志,确定是否存在安全漏洞(如多次失败的登录尝试,或者用户对系统文件不成功的访...
audit详细使用配置
张无忌
05-09 3431
Linux audit通过分析系统上正在发生的细节信息,能够有效帮助您提高系统的安全。但是,它本身不提供额外的安全性保障----它不会保护你的系统免受代码故障或者任何类型的漏洞攻击。Audit服务对跟踪这些安全问题非常有用,并且有效帮助我们采取何种针对性的安全措施。
Linux使用audit审计用户执行命令
Blue summer的博客
12-19 9530
注:本文基于CentOS 6.5编写
audit监控文件不生效的原因
09-08
audit监控文件不生效的原因可能有以下几点: 1. 审计服务未启动:请确保audit服务已经正确安装并启动。在Ubuntu上可以使用apt-get audit命令,而在CentOS上可以使用yum install audit命令来安装audit服务。启动audit服务可以使用Systemctl start auditd命令。 2. 规则未添加或添加不正确:audit的规则需要使用auditctl工具进行添加。使用auditctl -l命令可以查看当前生效的规则。请确保正确添加了监控文件的规则,例如使用auditctl -w /path/to/file -p wxra命令添加监控。 3. 规则不生效或被覆盖:添加的规则每次audit服务重启后就会消失,如果希望规则在每次服务重启后仍然有效,可以将规则写入/etc/audit/rules.d/audit.rules文件的末尾。这样可以确保每次服务重启后规则仍然有效。 4. 文件路径错误:请确保监控文件的路径正确无误。使用auditctl -l命令可以查看当前生效的规则,确认监控文件路径是否正确。 5. 权限问题:请确保运行audit服务的用户具有足够的权限来监控文件。通常需要root或具有sudo权限的用户才能进行文件监控。 总结:audit监控文件不生效的原因可能包括未启动审计服务、规则未添加或添加不正确、规则不生效或被覆盖、文件路径错误以及权限问题。请逐一排查以上可能原因,确保配置正确并启动了审计服务。<span class="em">1</span><span class="em">2</span><span class="em">3</span><span class="em">4</span>

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值