誰がファイルにアクセスしたかを確認する方法についていくつかの質問があります。
監査サブシステムとinotifyを介してファイルがアクセスされているか(変更/変更されていない)確認する方法がいくつかあることがわかりました。
しかし、私がオンラインで読んだことによると、 http://www.cyberciti.biz/tips/linux-audit-files-to-see-who-made-changes-to-a-file.html
「ウォッチ/モニター」ファイルがあります。次のコマンドを使用して時計を設定する必要があります。
# auditctl -w /etc/passwd -p war -k password-file
もしそうなら、新しいファイルまたはディレクトリを作成する場合、新しいファイルにアクセスする人を「監視」する前に、audit / inotifyコマンドを使用して監視を「設定」する必要がありますか?
監査サブシステムまたはinotifyを介してディレクトリが「監視」されているかどうかを知る方法はありますか?ファイルログはどのように/どこで確認できますか?
編集する:
追加のインターネット検索で次のページを見つけました。 http://www.kernel.org/doc/man-pages/online/pages/man7/inotify.7.html
inotify APIは、inotifyイベントをトリガーしたユーザーまたはプロセスに関する情報を提供しません。
それでは、これはどのユーザーがファイルにアクセスしたのかわからないことを意味しますか?監査サブシステムだけがファイルにアクセスした人を見つけることができますか?
ベストアンサー1
監査サブシステムのログはパスベースです。ファイルが存在しなくてもファイル名を監視できます。ファイルが作成されアクセスされると、ログエントリが表示されます。
すべてのログはauditd
ファイル(通常/var/log/audit/auditd.log
)に保存されます。
リスト監査ルールを使用できますauditctl -l
。