使用审核来跟踪对文件的读写操作
2008-11-10 08:18:16 来源:WEB开发网# cat /etc/security/audit/streamcmds
这个命令将提供下面的信息:
/usr/sbin/auditstream | auditpr > /audit/stream.out &
将审核结果写入 /audit/stream.out 文件中,可以实时地对该文件进行监视,以跟踪读写操作。
典型的输出应该与下面的清单 1 所示类似。
清单 1. 输出文件——采用 STREAM 模式的数据收集
# tail -f /audit/stream.out
event login status time command
--------------- -------- -------- --------- ---------
S_NOTAUTH_READ root OK Thu May 24 14:07:05 2007 cat
S_NOTAUTH_READ root OK Thu May 24 14:07:05 2007 cat
FILE_Unlink root OK Thu May 24 14:07:09 2007 vi
S_NOTAUTH_READ root OK Thu May 24 14:07:09 2007 vi
S_NOTAUTH_READ root OK Thu May 24 14:07:09 2007 vi
S_NOTAUTH_READ root OK Thu May 24 14:07:09 2007 vi
S_NOTAUTH_WRITE root OK Thu May 24 14:07:13 2007 vi
FILE_Unlink root OK Thu May 24 14:07:13 2007 vi
FILE_Unlink root OK Thu May 24 14:07:20 2007 vi
S_NOTAUTH_READ ash OK Thu May 24 14:09:39 2007 cat
S_NOTAUTH_READ ash OK Thu May 24 14:09:39 2007 cat
中查找“使用审核来跟踪对文件的读写操作”更多相关内容
中查找“使用审核来跟踪对文件的读写操作”更多相关内容更多精彩
赞助商链接
