Linuxシステムがあり、3人のユーザーがいるとします。
user1、、、、この機器にログインできる人user2。user3
ルールを作成しました。
$ auditctl -w /etc/file.txt -p rwxa
毎日誰がいつ接続したかを確認したい場合は、大量の記録データに接続して生成するfile.txt多数のアプリケーションを使用しながら、情報の過負荷を最小限に抑えるためにどうすればよいですか?他のユーザー(、、対応するアプリケーション、リモートユーザーなど)からのfile.txtファイルアクセスのみを確認してください。file.txtuser1user2user3
ベストアンサー1
監査イベントをフィルタリングして報告するためのユーザースペースツールがあります。バラよりhttps://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Security_Guide/sec-Creating_Audit_Reports.htmlいくつかの例を見てください。
あなたの場合は、次のことを試すことができます。
ausearch --start today --success no --file /etc/file.txt | aureport --file
その日付に失敗したファイルアクセス試行をすべて表示します。
その他のオプションについては、ausearch と aureport のマニュアルページをご覧ください。