Назад | Перейти на главную страницу

Как выяснить, какие процессы удаляют файлы из определенного каталога?

Я пытаюсь выяснить, какие процессы удаляют файлы из определенного каталога, поэтому я хочу настроить и запустить auditd в моей системе.

Я установил следующее правило в audit.rules:

-w S unlink -S truncate -S ftruncate -a exit,always -k cache_deletion -w /home/myfolder/cache

Затем я набираю это, чтобы запустить демон аудита:

auditctl -R /etc/audit/audit.rules -e 1

Но я получаю это сообщение об ошибке:

Error - nested rule files not supported

Кто-нибудь знает, что я здесь делаю не так, и как я могу это решить?

Кроме того, что мне нужно сделать, чтобы демон запускался при запуске?

Это правило пытается определить два пути к аудиту, -w S и -w /home/myfolder/cache. Вы можете использовать только -p and -k варианты с -w слишком.

Попробуйте следующее правило:

-a exit,always -S unlinkat -S truncate -S ftruncate -F dir=/home/myfolder/cache -F key=cache_deletion

... или для простоты:

-w /home/myfolder/cache -k cache_deletion -p wa

Чтобы запустить службу при запуске:

/sbin/chkconfig auditd on

В конце концов, я отказался от попыток сделать это, потому что смог идентифицировать (другими способами) некоторый код, вызывающий удаление.