Запись в журнал записей в CenOs?
Иногда я нахожу подозрительные файлы в папке / tmp, и мое обнаружение вредоносных программ очищает их. однако я хотел узнать, кто загружает эти файлы и какие сценарии и учетные записи пользователей для этого использовались. Есть ли способ создать файл журнала, непрерывно записывать записи в папку / tmp только с IP-адресом и временем доступа для каждого файла, помещенного в папку?
Я попытался найти записи во всех других существующих журналах, но записи не найдены ни в одном из файлов журнала.
Спасибо.
Используйте подсистему аудита, чтобы узнать, кто создает файлы в /tmp. Сначала убедитесь, что демон аудита (auditd )запущен :
.# service auditd status
Redirecting to /bin/systemctl status auditd.service
● auditd.service - Security Auditing Service
Loaded: loaded (/usr/lib/systemd/system/auditd.service; enabled; vendor preset: enabled)
Active: active (running) since Wed 2017-08-30 03:43:01 EDT; 2 days ago
Затем добавьте правило для отслеживания операций записи в каталог /tmp (, которые создают, удаляют и переименовывают файлы):
# auditctl -w /tmp -p w -k "tmp"
Это создает наблюдение за каталогом /tmp и записывает все записи в журнал аудита. Журналы находятся в /var/log/audit -, вы можете найти «tmp», чтобы найти все записи.