Estou usando o Auditd para registrar qualquer alteração nos arquivos. Aqui está a regra:
# auditctl -l
LIST_RULES: exit,always dir=/var/local/ (0x1e) perm=w key=state-files
mas se eu correr:
# ausearch -i -k state-files
comando eu tenho:
...
type=PATH msg=audit(04/27/16 12:51:42.793:8700) : item=0 name=/var/local/some/path/file inode=6100653 dev=08:01 mode=file,644 ouid=someuser ogid=admin rdev=00:00
type=CWD msg=audit(04/27/16 12:51:42.793:8700) : cwd=/opt/app/bin
type=SYSCALL msg=audit(04/27/16 12:51:42.793:8700) : arch=x86_64 syscall=open success=yes exit=125 a0=7f9f602ecfa0 a1=241 a2=1b6 a3=7f9f75f69e20 items=1 ppid=13812 pid=13814 auid=unset uid=someuser gid=somegroup euid=xxx suid=ccc fsuid=zzz egid=aaa sgid=bbb fsgid=sss tty=(none) ses=4294967295 comm=java exe=/opt/jdk1.7.0_79/bin/java key=state-files
...
O problema é que ausearch reporta a abertura de arquivos, mesmo que perm seja definido como somente escrita. Quero relatar apenas as alterações nos arquivos, não nas leituras.
Tags auditd