Como descobrir quais processos estão excluindo arquivos de um diretório específico?

2

Estou tentando descobrir quais processos estão excluindo arquivos de um diretório específico, portanto, quero configurar e executar auditd no meu sistema.

Eu configurei a seguinte regra em audit.rules :

-w S unlink -S truncate -S ftruncate -a exit,always -k cache_deletion -w /home/myfolder/cache

Então eu digito isso para iniciar o daemon de auditoria:

auditctl -R /etc/audit/audit.rules -e 1

Mas recebo esta mensagem de erro:

Error - nested rule files not supported

Alguém sabe o que estou fazendo de errado aqui e como posso resolver isso?

Além disso, o que preciso fazer para colocar o daemon na inicialização?

    
por Tola Odejayi 28.09.2012 / 18:05

2 respostas

-2

No final, desisti de tentar fazer isso porque consegui identificar (através de outros meios) algum código que fazia com que as exclusões ocorressem.

    
por 08.10.2012 / 20:06
2

Essa regra está tentando definir dois caminhos para auditoria, -w S e -w /home/myfolder/cache . Você só pode usar -p and -k opções com -w também.

Experimente a seguinte regra:

-a exit,always -S unlinkat -S truncate -S ftruncate -F dir=/home/myfolder/cache -F key=cache_deletion

... ou para simplificar:

-w /home/myfolder/cache -k cache_deletion -p wa

Para iniciar o serviço na inicialização:

/sbin/chkconfig auditd on
    
por 28.09.2012 / 21:19

Tags