como executar um script em eventos auditd?

2

Configurei o auditd para rastrear alguns arquivos confidenciais no meu sistema. Agora eu gostaria de ter um script que será chamado toda vez que o auditd escrever uma linha, com o argumento $1 desse script sendo a linha adicionada.

Pelo que li no manual, o auditd não tem essa opção.

Existe alguma maneira de fazer isso?

Se eu tiver um script cron executando a cada minuto, terei um problema em defini-lo em quais linhas ele deve funcionar (quais linhas são novas? se alguma?)

    
por Tom Klino 08.03.2017 / 21:46

1 resposta

1

Usando o comando tail assim:

tail -Fn0 /var/log/audit/audit.log | /sbin/script

e /sbin/script são assim:

while IFS= read -r line; do
  #something to do with $line variable when it comes
done
    
por 09.03.2017 / 00:35