使用审核来跟踪对文件的读写操作

核心提示：引言AIX® 提供了一些简单的方式以跟踪最近对文件的访问，ls 命令就是一个示例，使用审核来跟踪对文件的读写操作，但是，有时您还希望了解是谁、或者哪个进程对该文件进行了访问，这取决于您的具体需求，通过在 /etc/security/audit/objects 文件中采用相同的格式为每个想要跟踪的文件建立单独的条

引言

AIX® 提供了一些简单的方式以跟踪最近对文件的访问。ls 命令就是一个示例。但是，有时您还希望了解是谁、或者哪个进程对该文件进行了访问。您可能需要这样的信息，以便进行调试或者对重要的文件进行跟踪。在审核 的帮助之下，您可以跟踪对文件的读写操作的相关信息。

在 AIX 中，审核系统用于记录与安全相关的信息，并向管理员发出有关安全问题的警告。您可以自定义配置和目标文件，审核子系统将使用它们来跟踪任何需要跟踪的文件。您还可以使用审核的实时监视特性，以跟踪某些进程和文件（由未标识的进程随意地进行修改）。

跟踪

跟踪文件没有什么特殊的要求；您所需要的是具有 root 访问权限的一个普通的 AIX 系统。audit 命令为 root 用户和 audit 组的成员授予执行访问权限。对于非 root 用户，如果要在系统中执行审核，那么就应该是 audit 组的成员。

跟踪文件的概要步骤如下：

配置审核子系统

监视输出

配置审核子系统

配置审核子系统需要在目标和配置文件（审核子系统将其用于生成结果）中建立特定的条目。

在这个场景中，您将要跟踪 /home/test.txt 文件。为配置审核子系统，请尝试下面的操作：

在 /etc/security/audit/objects 文件中，为 /home/test.txt 建立相应的条目。请使用下面的格式：

/home/test.txt:
　　r = "S_NOTAUTH_READ"
　　w = "S_NOTAUTH_WRITE"

S_NOTAUTH_READ 和 S_NOTAUTH_WRITE 分别是用于跟踪读操作和写操作的关键字。可以使用任何关键字来替换这两个关键字，这取决于您的具体需求。

通过在 /etc/security/audit/objects 文件中采用相同的格式为每个想要跟踪的文件建立单独的条目，您还可以使用相同的关键字跟踪多个文件。