我有一台 Linux 服务器(Azure 上的 VM),只有 4 个人可以访问,而且没有人在上面做任何事情。但是,有些文件不断从某些文件夹中消失。
有人可以帮我找出原因和方法吗?我应该在终端上使用什么命令?我对Linux不太了解,所以问这个问题。
$ systemctl enable auditd
将其用于文件/etc/audit/rules.d/audit.rules:
## First rule - delete all
-D
## Increase the buffers to survive stress events.
## Make this bigger for busy systems
# -b 8192
# set from 8k to 1mb
-b 1048576
# 2 is shutdown, 1 is runlevel 1
-f 1
-a always,exit -F arch=b32 -S unlink -F auid>=1000 -F auid!=unset -k delete
-a always,exit -F arch=b64 -S unlink -F auid>=1000 -F auid!=unset -k delete
-a always,exit -F arch=b32 -S unlink,unlinkat,rename,renameat,rmdir -F auid>=1000 -F auid!=unset -k delete
-a always,exit -F arch=b64 -S unlink,unlinkat,rename,renameat,rmdir -F auid>=1000 -F auid!=unset -k delete
-w /etc/passwd -p wa -k watchXXX
## First rule - delete all
-D
## Increase the buffers to survive stress events.
## Make this bigger for busy systems
# -b 8192
# set from 8k to 1mb
-b 1048576
# 2 is shutdown, 1 is runlevel 1
-f 1
-a always,exit -F arch=b32 -S unlink -F auid>=1000 -F auid!=unset -k delete
-a always,exit -F arch=b64 -S unlink -F auid>=1000 -F auid!=unset -k delete
-a always,exit -F arch=b32 -S unlink,unlinkat,rename,renameat,rmdir -F auid>=1000 -F auid!=unset -k delete
-a always,exit -F arch=b64 -S unlink,unlinkat,rename,renameat,rmdir -F auid>=1000 -F auid!=unset -k delete
-w /etc/passwd -p wa -k watchXXX
然后检查/var/log/audit/audit.log您的文件何时以及如何被删除的指示。搜索audit.logper deletethe -k deleteflag。delete如果适合您,请更改to的语法DELETEXYZ,以便更容易在audit.log 中查找。
您还可以通过使用 来监视-w并标记这些审计记录 -k watchXYZ。
解析audit.log 说起来容易做起来难,但是如果您只是在规则文件中搜索delete标签,那么与您的文件/文件夹删除有关的数据将/应该在其中。-k delete
注意:如果您什么也没得到,请删除或调整-F auid>=1000 -F auid!=unset,但要准备好在很短的时间内处理大量的audit.log。
| 归档时间: |
|
| 查看次数: |
781 次 |
| 最近记录: |