使用审核来跟踪对文件的读写操作
2008-11-10 08:18:16 来源:WEB开发网要解释该输出文件是非常简单的。例如,下面的一行内容:S_NOTAUTH_WRITE root OK Thu May 24 14:07:13 2007 vi
显示了在 5 月 24 日(星期四)的 14:07:13,由 root 用户对该文件执行了一次写入操作。
采用 BIN 模式的数据收集
如果在 BIN 模式中启用了数据收集,那么您可以通过执行下面的命令来启动数据收集:
# /usr/sbin/auditpr -v < /audit/trail > /audit.out
这个命令会将审核结果写入到 /audit.out 文件中,同样可以对该文件进行实时监视。
典型的输出应该与下面的清单 2 所示类似。
清单 2. 输出文件——采用 BIN 模式的数据收集
# vi /audit.out
"/audit.out" 30 lines, 2012 characters
event login status time command
-------- -------- ----------- ------------- --------------
S_NOTAUTH_READ root OK Thu May 24 15:07:27 2007 cat
<tail format undefined>
S_NOTAUTH_READ root OK Thu May 24 15:07:27 2007 cat
<tail format undefined>
FILE_Unlink root OK Thu May 24 15:07:32 2007 vi
filename /var/tmp/Ex21778
S_NOTAUTH_READ root OK Thu May 24 15:07:32 2007 vi
<tail format undefined>
S_NOTAUTH_READ root OK Thu May 24 15:07:32 2007 vi
<tail format undefined>
S_NOTAUTH_READ root OK Thu May 24 15:07:32 2007 vi
<tail format undefined>
S_NOTAUTH_WRITE root OK Thu May 24 15:07:37 2007 vi
<ail format undefined>
FILE_Unlink root OK Thu May 24 15:07:37 2007 vi
您可以监视这些输出文件,以便跟踪对您的文件所进行的读写操作。
更多精彩
赞助商链接