Auditoria apenas alterações em arquivos

1

Estou usando o Auditd para registrar qualquer alteração nos arquivos. Aqui está a regra:

# auditctl -l
LIST_RULES: exit,always dir=/var/local/ (0x1e) perm=w key=state-files

mas se eu correr:

# ausearch -i -k state-files

comando eu tenho:

...
type=PATH msg=audit(04/27/16 12:51:42.793:8700) : item=0 name=/var/local/some/path/file inode=6100653 dev=08:01 mode=file,644 ouid=someuser ogid=admin rdev=00:00 
type=CWD msg=audit(04/27/16 12:51:42.793:8700) :  cwd=/opt/app/bin 
type=SYSCALL msg=audit(04/27/16 12:51:42.793:8700) : arch=x86_64 syscall=open success=yes exit=125 a0=7f9f602ecfa0 a1=241 a2=1b6 a3=7f9f75f69e20 items=1 ppid=13812 pid=13814 auid=unset uid=someuser gid=somegroup euid=xxx suid=ccc fsuid=zzz egid=aaa sgid=bbb fsgid=sss tty=(none) ses=4294967295 comm=java exe=/opt/jdk1.7.0_79/bin/java key=state-files
...

O problema é que ausearch reporta a abertura de arquivos, mesmo que perm seja definido como somente escrita. Quero relatar apenas as alterações nos arquivos, não nas leituras.

    
por QkiZ 28.04.2016 / 10:16

0 respostas

Tags