我的某个应用程序deps中的一个.beam文件正在被删除,我不确定是什么/如何。
有没有办法监控或审核文件以查看删除文件后会发生什么?
我正在使用RedHat发行版。
答案 0 :(得分:6)
是的,您可以使用审计守护程序。你没有说哪个Linux发行版。基于Red Hat的系统包含auditd,您可以使用auditctl添加规则。
以递归方式查看目录以进行更改:
auditctl -w /usr/local/someapp/ -p wa
观看由pid为2021的程序进行的系统调用:
auditctl -a exit,always -S all -F pid=2021
查看auditctl的手册页。
结果将记录到/var/log/audit/audit.log
确保它正在运行。
/etc/init.d/auditd status
对于更彻底的方法,您可以使用tripwire或OSSEC,但它们更倾向于入侵检测。
答案 1 :(得分:0)
您可以使用助手监控Linux文件系统。 AIDE表示用于监控变更的入侵检测软件。 步骤进行:
要了解更多详情,请访问以下链接 http://topicsfeedback.com/linux-system-monitoring-tools/ 或者您可以在手机中下载关于高级Linux的最佳Android应用程序以获得即时访问权限 https://play.google.com/store/apps/details?id=com.topicsfeedback.advancelinux