Monitorando o acesso a arquivos em tempo real no Linux

Os arquivos são alterados, é basicamente para isso que eles existem. Às vezes, porém, eles mudam quando você não espera. Às vezes, repetidamente, não importa o quanto você chmodos faça. Nesse caso, é útil ser capaz de descobrir o que está fazendo as alterações e quando.

O pacote auditd fornece utilitários que tornam isso fácil. Instale-o usando seu gerenciador de pacotes favorito e, em seguida, use os seguintes comandos:

Crie uma nova regra

auditctl -w <path> -p <permissions> -k <key>
  • -w <path> Observe o caminho especificado
  • -p <permissions> Operações a serem observadas (mapeadas para permissões: [r] ead, [w] rite, e [x] ecute, [a] ttributes)
  • -k <key> Identifique os eventos principais com, para facilitar a pesquisa

Encontre eventos

ausearch -f <path>
  • -f <path> Caminho para procurar eventos para

ou

ausearch -k <key>
  • -k <key> Chave para procurar

Regras de lista

auditctl -l

Excluir uma regra

auditctl -W <path>
  • -W <path> Pare de observar o caminho especificado

De Superusuário