大佬教程收集整理的这篇文章主要介绍了linux – Auditd – auditctl规则只监视dir(不是所有子目录和文件等..),大佬教程大佬觉得挺不错的,现在分享给大家,也给大家做个参考。
这是我设置的规则:
auditctl -w /home/raven/public_html -p war -k raven-pubhtmlwatch
当我使用搜索日志时
ausearch -k raven-pubhtmlwatch
我获得了数千行日志,列出了public_html /下的所有内容
如何将规则限制为仅指定目录上的更改?
非常感谢你.
-a exit,always -F dir=/home/raven/public_html -F perm=war -F key=raven-pubhtmlwatch
-F dir字段是递归的.但是,如果您只想查看目录
条目,您可以将其更改为-F路径.
-a exit,always -F path=/home/raven/public_html -F perm=war -F key=raven-pubhtmlwatch
这不是递归的,只是监视目录占用的inode.
我必须手动添加规则:
/etc/audit/audit.rules
然后使用重启auditd
/etc/init.d/auditd restart
现在规则已添加,效果很好!
所有的功劳都归功于Steve @ redhat,他在审核邮件列表中回答了我的问题:
https://www.redhat.com/archives/linux-audit/2013-September/msg00057.html
以上是大佬教程为你收集整理的linux – Auditd – auditctl规则只监视dir(不是所有子目录和文件等..)全部内容,希望文章能够帮你解决linux – Auditd – auditctl规则只监视dir(不是所有子目录和文件等..)所遇到的程序开发问题。
如果觉得大佬教程网站内容还不错,欢迎将大佬教程推荐给程序员好友。
本图文内容来源于网友网络收集整理提供,作为学习参考使用,版权属于原作者。
如您有任何意见或建议可联系处理。小编QQ:384754419,请注明来意。