Auditd - auditctl-Regel zu überwachen dir nur (nicht alle sub-dir und Dateien, usw..)
Ich versuche, mit auditd die überwachung der änderungen in einem Verzeichnis.
Das problem ist, dass wenn ich ein setup in der Regel überwacht, die ich dir angegeben, sondern auch alle sub-dir-und-Dateien macht der monitor unbrauchbar wegen endloser Geschwätzigkeit.
Hier ist die Regel, die ich setup:
auditctl -w /home/raven/public_html -p war -k raven-pubhtmlwatch
wenn ich nach den Protokollen mithilfe von
ausearch -k raven-pubhtmlwatch
Bekomme ich Tausende Zeilen von logs, alles aufzuzählen, was unter public_html/
Wie kann ich begrenzen Sie die Regel auf die Veränderung der angegebene Verzeichnis nur?
Danke Ihnen sehr.
fragte auch hier: superuser.com/q/650714/4714
Diese Frage scheint off-topic, denn es wurde gefragt/beantwortet SuperUser - superuser.com/questions/650714/...
an der Zeit, diese Frage war ich mir nicht sicher, wo der beste post. Wenn Sie glauben, dies ist einfach nur überflüssig und nicht hilfreich, um andere Nutzer, die sich für dieses haben, dann entfernen Sie es bitte. Bitte teilen Sie mir auch Anregungen für die Zukunft. Danke!!!
Diese Frage scheint off-topic, denn es wurde gefragt/beantwortet SuperUser - superuser.com/questions/650714/...
an der Zeit, diese Frage war ich mir nicht sicher, wo der beste post. Wenn Sie glauben, dies ist einfach nur überflüssig und nicht hilfreich, um andere Nutzer, die sich für dieses haben, dann entfernen Sie es bitte. Bitte teilen Sie mir auch Anregungen für die Zukunft. Danke!!!
InformationsquelleAutor superuseroi | 2013-09-26
Du musst angemeldet sein, um einen Kommentar abzugeben.
Einer Uhr ist wirklich ein syscall Regel in der Verkleidung. Wenn Sie eine Uhr auf einem
Verzeichnis, auditctl verwandelt es sich in:
Des-F-dir Feld rekursiv ist. Jedoch, wenn Sie wollen einfach nur zu beobachten, das Verzeichnis
Einträge, die Sie ändern können, die zu-F-Pfad.
Dies ist nicht rekursiv und Uhren nur die inode, Verzeichnis belegt.
Ich hatte, um die Regel manuell in:
/etc/audit/audit.Regeln
dann neu starten auditd mit
nun die Regeln werden Hinzugefügt, und es funktioniert Super!
Alle Kredit geht an Steve @ redhat, wer beantwortet meine Frage in die audit-mailing-Liste:
https://www.redhat.com/archives/linux-audit/2013-September/msg00057.html
auditctl
was in einem Produktions-server. Ich habe nun Sorge, dass es vielleicht Auswirkungen auf die Leistung. Ist es genug zu tunauditctl -D
entfernen Sie alle Regeln, oder muss ich es deinstallieren oder deaktivieren, in irgendeiner Weise? Weißt du das? Danke!Welche Art von Uhren produziert, die syscall-Regel, die Sie bieten? ie, habe ich eine Regel, dass nur Uhren für änderungen der attribute, dh es hat den Schalter
-p a
. Was syscall-Regel würde, zu produzieren. Auch nicht, syscall-Regeln müssen die-S
Schalter angeben, welche syscall zu beobachten?Nicht ganz richtig: wenn Sie eine Uhr auf ein Verzeichnis ohne Angabe von Berechtigungen, die standardmäßig werden warx, nicht Krieg. Beachten Sie übrigens, dass auditctl gerne akzeptieren ungültige Dateien und Verzeichnisse zu sehen, wie lange der unwirksame Teil ist das Blatt. Ungültige Pfade, die nicht früher als das Blatt, wird ein Fehler ausgelöst.
InformationsquelleAutor superuseroi