inotify - wie Sie herausfinden, welche Benutzer geändert wurde Datei?

Ich bin auf der Suche nach Anleitungen, um herauszufinden, welcher Benutzer änderungen vorgenommen hat, die eine bestimmte Datei. Während inotify ist ideal, um benachrichtigt zu werden, wenn eine bestimmte Datei berührt, wie finde ich heraus, welcher Benutzer änderungen vorgenommen hat, die Datei? Ich denke, der kann mit lsof aber ich fürchte, dass es vielleicht nicht so "realtime" wie ich will und/oder es könnte zu viel von einer Steuer auf Ressourcen. Durch Echtzeit meine ich, dass, wenn ein Benutzer führt einfach eine touch Befehl auf eine Datei, durch die Zeit, die ich laufen lsof auf Datei, kann es nicht abgeholt werden durch lsof.

InformationsquelleAutor user837208 | 2011-08-03
  1. 13

    Können Sie audit-Dämon:

    sudo apt-get install auditd

    Wählen Sie eine Datei zu überwachen

    touch /tmp/myfile

    Hinzufügen audit für schreib-und Attribut ändern (-p wa):

    sudo auditctl -w /tmp/myfile -p wa -k my-file-changed

    Die Datei berührt, wird durch einige user:

    touch /tmp/myfile

    Überprüfen Sie audit-Protokolle:

    sudo ausearch -k my-file-changed | tail -1

    Sehen Sie die UID des Benutzers, der den Befehl ausführen in der Ausgabe

    type=SYSCALL msg=audit(1313055675.066:57): arch=c000003e syscall=2
    success=yes exit=3 a0=7ffffb6744dd a1=941 a2=1b6 a3=7ffffb673bb0
    Elemente=1 ppid=3428 pid=4793 auid=4294967295 uid=1000 gid=1000 euid=1000
    suid=1000 fsuid=1000 egid=1000 sgid=1000 fsgid=1000 tty=pts1
    ses=4294967295 comm="Note" exe="/bin/touch" key="my-file-geändert"

    Einzelheiten der Nutzung zu sehen Mann Seiten oder diese Beispiel-Anleitung.

    • genial! vielen Dank.
    InformationsquelleAutor Paweł Nadolski
  2. 2

    Wenn Sie hinzufügen der option-i in der früheren Befehl, erhalten Sie Ausgabe, in der mehr Menschen lesbaren format. Erhalten Sie die uid-Umgerechnet auf den Benutzernamen in der server.

    ausearch -k mein-Datei-verändert -i | tail -1

    InformationsquelleAutor user2894438
Schreibe einen Kommentar