我的应用程序部门之一的 .beam 文件之一正在被删除,我不确定删除的内容/方式。
有没有办法监视或审核文件以查看删除该文件后会发生什么?
我正在使用 RedHat 发行版。
是的,您可以使用审核守护程序。你没有说哪个 Linux 发行版。基于Red Hat的系统包含auditd,您可以使用auditctl添加规则。
要递归地观察目录的更改:
auditctl -w /usr/local/someapp/ -p wa
要查看 pid 为 2021 的程序进行的系统调用:
auditctl -a exit,always -S all -F pid=2021
检查auditctl 的手册页。
结果将记录到/var/log/audit/audit.log
以确保其运行。
/etc/init.d/auditd status
对于更彻底的方法,您可以使用 tripwire 或 OSSEC,但它们更适合入侵检测。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)