linux监控文件变化的程序,在 Linux 下监控程序修改文件

最新推荐文章于 2024-04-15 22:44:29 发布
VIP文章 最新推荐文章于 2024-04-15 22:44:29 发布
阅读量1.9k 收藏 3
点赞数
文章标签: linux监控文件变化的程序

工作中, 有时候我们需要知道某个文件是否被修改了, 被哪个程序修改了. Linux 下可以很方便地监控某个文件被修改的记录. 根据目的不同, Linux 下有不同的监视文件或文件夹的方案.

A. Auditd

Auditd 可以很方便监控记录哪些程序和用户对指定文件 (即使不存在) 做的操作.

安装 auditd一般发行版软件仓库里都会有 auditd 安装包. 如果默认没有安装, 可以很方便地利用包管理器来安装## Fedora

$ sudo dnf install -y audit

## CentOS

$ sudo yum install -y audit

## Debian / Ubuntu

$ sudo apt install -y audit启动 audit 服务$ sudo systemctl enable --now auditd检查 audit 服务状态$ sudo systemctl status auditd

● auditd.service - Security Auditing Service

Loaded: loaded (/usr/lib/systemd/system/auditd.service; enabled; vendor preset: enabled)

Active: active (running) since Fri 2018-09-07 08:47:53 CST; 10min ago

Docs: man:auditd(8)

https://github.com/linux-audit/audit-documentation

Process: 28126 ExecStartPost=/sbin/augenrules --load (code=exited, status=0/SUCCESS)

Process: 28121 ExecStart=/sbin/auditd (code=exited, status=0/SUCCESS)

Main PID: 28122 (auditd)

Tasks: 5 (limit: 4915)

Memory: 3.3M

CGroup: /system.slice/auditd.service

├─28122 /sbin/auditd

├─28124 /sbin/audispd

└─28127 /usr/sbin/sedispatch

这就表示服务正常.

配置 audit 监视规则为了监视文件的访问操作, 需要在/etc/audit/rules.d/audit.rules 添加如下规则, 其中 perm 是要监控的操作, key 是在查寻时指定的关键字, path 是要监控的文件路径.$ vi /etc/audit/rules.d/audit.rules

-a always,exit -F path=/path/to/file -F perm=warx -F key=keyword-for-filter-log重启 audit 服务### Note: use service instead of systemctl

$ sudo service auditd restart检查 audit 规则.$ s

最低0.47元/天 解锁文章
楽楽Sukia
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux 文件修改记录,如何使用Audit记录Linux系统中文件改动
weixin_30972263的博客
04-28 1550
执行以下命令查看key在etc_change_log中记录的关于/etc/testfile文件日志。ausearch -f /etc/testfile -k etc_change_logtime->Thu Feb 13 17:13:02 2020type=PROCTITLE msg=audit(1581585182.035:6825171): proctitle=746F756368002F...
使用watch和tail命令监控文件内容的变化
11-02 736
使用watch和tail命令监控文件内容的变化
ubuntu下inotifywait实现目录、文件监控【包含子目录】
JSON_ZJS的博客
09-29 2235
inotifywait命令 【命令格式】: inotifywait [ options ] file1 [ file2 ] [ file3 ] [ … ] 【命令原意】: inote file system wait 【命令路径】: 【命令功能】: 等待所监听的文件系统触发操作事件 【执行权限】: root 【命令描述】: 众所周知,Linux 桌面系统与 MAC 或 Windows 相比有许多不...
linux监控文件操作行为
最新发布
weixin_40539956的博客
04-15 1413
关键词(key)在这个上下文中是完全自定义的。当你使用 -k 参数在 auditd 规则中指定一个关键词时,这个关键词用于标记和识别与该规则相关的审计事件。这意味着你可以使用任何有意义的字符串作为关键词,以便于后续在审计日志中快速过滤和查找相关事件。-k auth-change 中的 auth-change 是一个自定义关键词,用于标识和过滤与 /etc/pam.d/common-auth 文件更改相关的审计事件。
Ubuntu 常用操作命令
BrandoLv
09-19 1541
Ubuntu 常用操作命令
Linux中实时监控文件改动命令---Watch
伪装者的博客
01-11 4815
watch可以帮你监测一个命令的运行结果,来监测你想要的一切命令的结果变化 watch指令可以间歇性的执行程序,将输出结果以全屏的方式显示,默认是2s执行一次。watch将一直运行,直到被中断。 此命令的适用范围:RedHat、RHEL、Ubuntu、CentOS、SUSE、openSUSE、Fedora。 参数说明: Usage: watch [options] command Optio...
Linux 监控文件被什么进程修改(详解)
01-10
安装: apt-get install auditd. 1.auditd 是后台守护进程,负责监控记录 2.auditctl 配置规则的工具 3.auditsearch 搜索查看 4.aureport 根据监控记录生成报表 比如,监控 /root/.ssh/authorized_keys 文件是否被修改过: aditctl -w /root/.ssh/authorized_keys -p war -k auth_key •-w 指明要监控文件 •-p awrx 要监控的操作类型,append, write, read, execute •-k 给当前这条监控规则起个名字,方便搜索过滤 查看修
linux audit(安全审计功能)
underzerotem的博客
05-07 1188
今天系统中遇到rc.local被人删除掉的问题,从同事那里得知一工具可以监控文件被删除或修改是被谁和哪条指令修改的,就是audit,总结了一下,尤其是注意事项,希望后续可以省掉一些问题定位时间。 Linux安全审计功能 audit详解 动机 我们知道在Linux系统中有大量的日志文件可以用于查看应用程序的各种信息,但是对于用户的操作行为(如某用户修改删除了某文件)却无法通过这些日志文件来查看,...
Linux 用户空间审计工具 audit
热门推荐
Vic的博客
05-21 1万+
前言Linux auditd 工具可以将审计记录写入日志文件。包括记录系统调用和文件访问。管理员可以检查这些日志,确定是否存在安全漏洞。本文首先介绍用户空间审计系统的结构,然后介绍主要的 audit 工具的使用方法。Linux 用户空间审计系统简介Linux 内核有用日志记录事件的能力,包括记录系统调用和文件访问。管理员可以检查这些日志,确定是否存在安全漏洞(如多次失败的登录尝试,或者用户对系统文...
技术分享 | Linux 入侵检测中的进程创建监控
wsfcc的专栏
09-06 957
转载自:看雪专栏 作者简介:张博,网易高级信息安全工程师。 0x00 简介 在入侵检测的过程中,进程创建监控是必不可少的一点,因为攻击者的绝大多数攻击行为都是以进程的方式呈现,所以及时获取到新进程创建的信息能帮助我们快速地定位攻击行为。 本文将介绍一些常见的监控进程创建的方式,包括其原理、Demo、使用条件和优缺点。行文仓促,如果有哪些错误和不足,还望大家批评指正。 0x01 常见方式 目前来看,常见的获取进程创建的信息的方式有以下四种: So preload Netlink .
linux设置中断审计权限,linux audit审计(6)--audit永久生效的规则配置
weixin_30110543的博客
05-01 585
定义reboot系统后,仍然生效的审计规则,有两种办法:1、直接写入/etc/audit/audit.rules文件中,在service文件中需要加入ExecStartPost=-/sbin/auditctl -R /etc/audit/audit.rules2、将规则文件放入到/etc/audit/rules.d/目录下,在service文件中加入ExecStartPost=-/sbin/aug...
Linux中使用Pyinotify模块实时监控文件系统更改
09-15
pyinotiy的目的是绑定三个系统调用,并支持其上的实现,提供了一个共同和抽象的手段来操纵这些功能。这篇文章主要介绍了Linux修改IP、DNS和路由命令行配置方法,需要的朋友可以参考下
linux进程监控和进程守护程序
10-27
读取配置文件程序 2.启动进程 3.监控进程,查看进程是否退出或者崩溃 4.若进程退出或者崩溃,重启程序。 5.支持sleep功能 6.进程若连续崩溃NUM_MAX次就进行相应的睡眠周期struct proc_struct proc: struct proc_ ...
一个监控LINUX目录和文件变化的Shell脚本分享
09-15
主要介绍了一个监控LINUX目录和文件变化的Shell脚本分享,对服务器经常被挂马的朋友时分有用,需要的朋友可以参考下
Ubuntu: inotify递归监控文件系统状态
清风笑
08-11 2468
参考: 用 inotify 监控 Linux 文件系统事件 inotify只能监控单层目录变化,不能监控子目录中的变化情况。所以只能遍历目录,将所有子目录添加入监控列表 当所监控目录超过8192时,导致too many open files, 两种解决方案: 1:   需要更改下列文件数值大小:       /proc/sys/fs/inotify/max_user_
Linux 监控文件被什么进程修改
qq_27546717的博客
03-04 1784
[Linux 监控文件被什么进程修改] (https://www.cnblogs.com/kex1n/p/6135239.html) 安装: apt-get install auditd. auditd 是后台守护进程,负责监控记录 auditctl 配置规则的工具 auditsearch 搜索查看 aureport 根据监控记录生成报表 比如,监控 /root/.ssh/authorized_keys 文件是否被修改过: aditctl -w /root/.ssh/authorized_keys -p
Linux 监控文件变化
Pou光明的博客
03-03 1303
当我们在界面上修改文件时,可以提示用户是否保存此次修改,并以此来发出其他信号。但是当我们的程序后台运行时,怎样自动的监控某个文件变化呢?Inotify以它为关键字,会搜索到大部分你想要了解的,下面直接贴一个可以在linux下运行的小demo:平台:ubuntu 14.04#include <stdio.h> #include <stdlib.h> #inc...
linux audit审计(6)--audit永久生效的规则配置
weixin_30216561的博客
04-11 1432
定义reboot系统后,仍然生效的审计规则,有两种办法: 1、直接写入/etc/audit/audit.rules文件中,在service文件中需要加入ExecStartPost=-/sbin/auditctl -R /etc/audit/audit.rules 2、将规则文件放入到/etc/audit/rules.d/目录下,在service文件中加入ExecStartPost=-/sbin...
linux监控文件大小变化
05-27
监控 Linux 系统中的文件大小变化,可以使用 inotify 工具。inotify 可以监视文件系统操作,如创建、删除和修改文件等。以下是使用 inotify 监控文件大小变化的步骤: 1. 安装 inotify 工具,可以使用以下命令: ``` sudo apt-get install inotify-tools ``` 2. 使用 inotifywait 命令监视文件大小变化,可以使用以下命令: ``` inotifywait -m -e modify FILE_PATH ``` 其中,-m 表示持续监视文件,-e modify 表示监视文件修改操作,FILE_PATH 表示要监视的文件路径。 例如,要监视 /var/log/syslog 文件的大小变化,可以使用以下命令: ``` inotifywait -m -e modify /var/log/syslog ``` 3. 当文件大小发生变化时,inotifywait 命令会输出相关信息。可以将其与其他命令结合使用,例如使用 ls -lh 命令查看文件大小,可以使用以下命令: ``` inotifywait -m -e modify FILE_PATH | while read; do ls -lh FILE_PATH; done ``` 其中,while read 循环读取 inotifywait 命令输出的信息,然后执行 ls -lh 命令查看文件大小。 例如,要监视 /var/log/syslog 文件的大小变化并输出文件大小信息,可以使用以下命令: ``` inotifywait -m -e modify /var/log/syslog | while read; do ls -lh /var/log/syslog; done ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值