Я пытаюсь выяснить, какие процессы удаляют файлы из определенного каталога на моем сервере CentOS.
я смотрел на inotify
, но все это говорит мне, сколько файлов было удалено; он не сообщает мне, какой процесс запускал какой пользователь выполнил удаления, и не сообщает мне, когда они произошли.
Я тоже пробовал auditd
, но я мне не удалось настроить его на моем сервере.
Есть ли у кого-нибудь другой инструмент, который они могут предложить, чтобы сделать это?
auditd - это правильный инструмент, который следует использовать здесь, man auditctl и правильно установите свои правила. Немного полезной информации: http://www.nsa.gov/ia/_files/os/redhat/rhel5-guide-i731.pdf