Auditd - правило auditctl для мониторинга только dir (не все sub dir и файлы и т. д..) [закрытый]

Question

Auditd - правило auditctl для мониторинга только dir (не все sub dir и файлы и т. д..) [закрытый]

Я пытаюсь использовать auditd для мониторинга изменений в каталоге. Проблема в том, что когда я устанавливаю правило, оно контролирует указанный мной dir, а также все sub dir и файлы, делающие монитор бесполезным из-за бесконечной многословности.

вот правило, которое я устанавливаю:

auditctl -w /home/raven/public_html -p war -k raven-pubhtmlwatch

когда я ищу журналы с помощью

ausearch -k raven-pubhtmlwatch

Я получаю тысячи строк журналов, которые перечисляют все под public_html/

Как я могу ограничить правила изменения каталог указан только?

большое спасибо.

7

audit linux monitoring shell

автор: superuseroi

1 ответов

автор: superuseroi · Accepted Answer · 2013-09-26 23:41:05

часы действительно правило syscall в маскировке. Если смотреть на каталог, auditctl превратит его в:

-a exit,always  -F dir=/home/raven/public_html -F perm=war -F key=raven-pubhtmlwatch

поле-F dir рекурсивно. Однако, если вы просто хотите посмотреть каталог записи, вы можете изменить этот путь на-F.

-a exit,always  -F path=/home/raven/public_html -F perm=war -F key=raven-pubhtmlwatch

Это не рекурсивно и просто наблюдает за индексом, который занимает каталог.

мне пришлось добавить правило вручную в: / etc / audit / audit.правила

затем перезапустите auditd, используя

/etc/init.d/auditd restart

Теперь правила добавлены, и он отлично работает! Все кредиты идут Стиву @ redhat, который ответил на мой вопрос в списке рассылки аудита: https://www.redhat.com/archives/linux-audit/2013-September/msg00057.html