使用audit监控文件和目录的实例教程

18-07-18 来源：[db:作者]

收藏我要投稿

有时候在系统上经常会遇到某个文件不知被谁修改了，或者删除了，又找不到证据，这时候audit就派上用场了。

比如我要监控/var/log/test这个目录，可以这样新增一个监控项，

[root@CentOS-7-2 /var/log/test]# auditctl -w /var/log/test
[root@CentOS-7-2 /var/log/test]# auditctl -l
-w /var/log/test/ -p rwxa
[root@CentOS-7-2 /var/log/test]#

查询确认有规则添加。

接下来我们在该目录使用touch命令生成my.txt这个文件，然后再删除它，模拟别人操作该文件。

[root@CentOS-7-2 /var/log/test]# ls
.  ..
[root@CentOS-7-2 /var/log/test]# touch my.txt
[root@CentOS-7-2 /var/log/test]# ls
.  ..  my.txt
[root@CentOS-7-2 /var/log/test]# rm -rf my.txt 
[root@CentOS-7-2 /var/log/test]# ls
.  ..
[root@CentOS-7-2 /var/log/test]#

这些操作audit都是有记录的，可以使用ausearch这个配套命令来查找相关记录，命令如下，

[root@CentOS-7-2 /var/log/test]# ausearch -f my.txt
----
time->Fri Jul 13 22:56:23 2018
type=PATH msg=audit(1531493783.645:797): item=0 name="my.txt" inode=69419422 dev=08:03 mode=0100644 ouid=0 ogid=0 rdev=00:00 objtype=NORMAL
type=CWD msg=audit(1531493783.645:797):  cwd="/var/log/test"
type=SYSCALL msg=audit(1531493783.645:797): arch=c000003e syscall=191 success=no exit=-61 a0=7ffeaaa8af70 a1=7f1d8703f114 a2=7ffeaaa8af30 a3=14 items=1 ppid=9251 pid=9328 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 ses=88 comm="ls" exe="/usr/bin/ls" key=(null)
----
time->Fri Jul 13 22:56:22 2018
type=PATH msg=audit(1531493782.346:795): item=1 name="my.txt" inode=69419422 dev=08:03 mode=0100644 ouid=0 ogid=0 rdev=00:00 objtype=CREATE
type=PATH msg=audit(1531493782.346:795): item=0 name="/var/log/test" inode=69419417 dev=08:03 mode=040755 ouid=0 ogid=0 rdev=00:00 objtype=PARENT
type=CWD msg=audit(1531493782.346:795):  cwd="/var/log/test"
type=SYSCALL msg=audit(1531493782.346:795): arch=c000003e syscall=2 success=yes exit=3 a0=7ffd739db862 a1=941 a2=1b6 a3=7ffd739d9af0 items=2 ppid=9251 pid=9327 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 ses=88 comm="touch" exe="/usr/bin/touch" key=(null)
----
time->Fri Jul 13 22:56:30 2018
type=PATH msg=audit(1531493790.088:803): item=1 name="my.txt" inode=69419422 dev=08:03 mode=0100644 ouid=0 ogid=0 rdev=00:00 objtype=DELETE
type=PATH msg=audit(1531493790.088:803): item=0 name="/var/log/test" inode=69419417 dev=08:03 mode=040755 ouid=0 ogid=0 rdev=00:00 objtype=PARENT
type=CWD msg=audit(1531493790.088:803):  cwd="/var/log/test"
type=SYSCALL msg=audit(1531493790.088:803): arch=c000003e syscall=263 success=yes exit=0 a0=ffffffffffffff9c a1=c1b0c0 a2=0 a3=7fff3824f120 items=2 ppid=9251 pid=9331 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 ses=88 comm="rm" exe="/usr/bin/rm" key=(null)
[root@CentOS-7-2 /var/log/test]#

我们主要关注里面的comm=”rm” exe=”/usr/bin/rm”，这两个字段，通过这两个字段我们就知道是什么命令操作了我们的文件或目录。同时也可以看下pid这个字段，如果这个进程还在的话，那就可以直接看出是哪个进程操作的了。妖怪，看你往哪逃。

如果需要删除这条规格，可以使用以下命令，

[root@CentOS-7-2 /var/log/test]# auditctl -l
-w /var/log/test/ -p rwxa
[root@CentOS-7-2 /var/log/test]# auditctl -W /var/log/test
[root@CentOS-7-2 /var/log/test]# auditctl -l
No rules
[root@CentOS-7-2 /var/log/test]#

也就是使用小写的w添加规则，大写的W删除规则。

通过这一功能，在大多时候都能确定是谁动了我的文件，屡试不爽。

点击复制链接与好友分享!回本站首页