117笔记问答在 CentOS 中,要监控用户删除操作,您可以使用 auditd 服务
- 首先,确保 auditd 服务已经安装在您的 CentOS 系统上。如果没有,请使用以下命令安装:
sudo yum install audit
- 启动 auditd 服务并设置为开机启动:
sudo systemctl start auditd sudo systemctl enable auditd
- 创建一个新的审计规则,以便监控特定文件或目录的删除操作。例如,要监控
/home/user目录中的所有文件和子目录的删除操作,请执行以下命令:
sudo auditctl -w /home/user -p wa -k delete_home_user
这里,-w 参数指定要监控的文件或目录,-p wa 参数表示要监控的权限更改(写入和属性更改),-k delete_home_user 参数是一个自定义的关键字,用于在审计日志中过滤相关事件。
- 重新启动 auditd 服务以应用新规则:
sudo systemctl restart auditd
- 现在,每当有用户尝试删除
/home/user目录中的任何文件或子目录时,auditd 服务都会记录相应的事件。您可以使用以下命令查看审计日志:
sudo ausearch -k delete_home_user
这将显示与 delete_home_user 关键字相关的所有审计事件。如果您需要保存这些日志以供将来分析,可以将它们写入一个文件中:
sudo ausearch -k delete_home_user -ts today -ot audit.log
这将把今天的审计事件写入名为 audit.log 的文件中。根据需要调整 -ts 和 -ot 参数以更改日志的时间范围和输出文件。