web-dev-qa-db-ja.com

どのプロセスが特定のディレクトリからファイルを削除しているかを把握するにはどうすればよいですか?

どのプロセスが特定のディレクトリからファイルを削除しているかを把握しようとしているので、システムでauditdを設定して実行したいと思います。

audit.rulesに次のルールを設定しました。

-w S unlink -S truncate -S ftruncate -a exit,always -k cache_deletion -w /home/myfolder/cache

次に、これを入力して監査デーモンを開始します。

auditctl -R /etc/audit/audit.rules -e 1

しかし、私はこのエラーメッセージを受け取ります:

Error - nested rule files not supported

私がここで間違っていること、そしてこれを解決する方法を誰かが知っていますか?

また、起動時にデーモンを実行するにはどうすればよいですか?

2
Tola Odejayi

そのルールは、監査する2つのパスを定義しようとしています。-w Sおよび-w /home/myfolder/cache。使用できるのは-p and -kオプションと-wも。

次のルールを試してください。

-a exit,always -S unlinkat -S truncate -S ftruncate -F dir=/home/myfolder/cache -F key=cache_deletion

...または簡単にするために:

-w /home/myfolder/cache -k cache_deletion -p wa

起動時にサービスを開始するには:

/sbin/chkconfig auditd on
2
skohrs