web-dev-qa-db-ja.com

aide.logの変更の概要を解釈するにはどうすればよいですか

/var/log/aide/aide.logの[変更されたファイル]セクションでは、fまたはdで始まる各行にプレフィックスがあります。これらはファイルのどの側面が変更されたかを示していますが、それらが何を意味するのかを追跡することはできないようです。 (明らかに、ログファイルのさらに下のファイルの詳細データを見ることができますが、要約行の明確な参照はgrepを実行するために重要です。)

ここではいくつかの例を示します。

f >.p.. mci.CA. .: /etc/passwd-
d =.... mc.. .. .: /bin
f =.... mci.C.. .: /bin/ip
d =.... mc.n A. .: /u1/home
2
Alastair Irvine

これについては aide.conf 完全を期すためにここに複製されたマニュアルページであり、生成されたレポートの構成可能な属性です。

summarize_changes

レポートの追加、削除、および変更されたファイルセクションの変更を要約するかどうか。有効な値は、yes、true、no、およびfalseです。デフォルトでは、変更を要約しません。

一般的な形式は、文字列YlZbpugamcinCAXSのようなもので、[〜#〜] y [〜#〜]はファイルタイプ(に置き換えられます)通常のファイルの場合はf、ディレクトリの場合はd[〜# 〜] l [〜#〜]シンボリックリンクの場合、[〜#〜] d [〜#〜]文字デバイスの場合、[〜#〜] b [〜#〜]ブロックデバイスの場合、[ 〜#〜] f [〜#〜]はFIFO、sはunixソケット、それ以外の場合)。

[〜#〜] z [〜#〜]は次のように置き換えられます:A=はサイズが変更されていない場合、<は縮小されたサイズを報告し、>サイズが大きくなったと報告します。

文字列内の他の文字は、アイテムに関連付けられた属性が変更された場合に出力される実際の文字、または変更されていない場合は「」です。 、属性が追加されている場合は「+」、「- "削除されている場合、属性がignore_listにリストされている場合は" "、属性がチェックされていない場合は" "。これの例外は次のとおりです。(1)新しく作成されたファイルが各文字を「+」に置き換え、(2)削除されたファイルが各文字を置き換えます「-」で。

各文字に関連付けられている属性は次のとおりです。

  • lは、リンク名が変更されたことを意味します。
  • bは、ブロック数が変更されたことを意味します。
  • pは、権限が変更されたことを意味します。
  • uは、uidが変更されたことを意味します。
  • gは、gidが変更されたことを意味します。
  • aは、アクセス時間が変更されたことを意味します。
  • mは、変更時刻が変更されたことを意味します。
  • cは、変更時間が変更されたことを意味します。
  • iは、iノードが変更されたことを意味します。
  • nは、リンク数が変更されたことを意味します。
  • Cは、1つ以上のチェックサムが変更されたことを意味します。
  • Aは、アクセス制御リストが変更されたことを意味します。
  • Xは、拡張属性が変更されたことを意味します。
  • Sは、SELinux属性が変更されたことを意味します。
3
dawud