Как выяснить, какие процессы удаляют файлы из определенного каталога?
Я пытаюсь выяснить, какие процессы удаляют файлы из определенного каталога, поэтому я хочу настроить и запустить auditd в моей системе.
Я установил следующее правило в audit.rules:
-w S unlink -S truncate -S ftruncate -a exit,always -k cache_deletion -w /home/myfolder/cache
Затем я набираю это, чтобы запустить аудит аудита:
auditctl -R /etc/audit/audit.rules -e 1
Но я получаю это сообщение об ошибке:
Error - nested rule files not supported
Кто-нибудь знает, что я здесь делаю неправильно, и как я могу решить эту проблему?
Кроме того, что мне нужно сделать, чтобы демон запускался при запуске?
2 ответа
Это правило пытается определить два пути аудита, -w S а также -w /home/myfolder/cache, Вы можете использовать только -p and -k варианты с -w тоже.
Попробуйте следующее правило:
-a exit,always -S unlinkat -S truncate -S ftruncate -F dir=/home/myfolder/cache -F key=cache_deletion
... или для простоты:
-w /home/myfolder/cache -k cache_deletion -p wa
Чтобы запустить службу при запуске:
/sbin/chkconfig auditd on
В конце концов, я отказался от попыток сделать это, потому что я смог идентифицировать (каким-то другим способом) некоторый код, который вызвал удаление.