Suponha que você tenha uma máquina Linux e que haja três usuários -
user1 , user2 e user3 , que podem fazer login na máquina.
Você criou uma regra
$ auditctl -w /etc/file.txt -p rwxa
Se você gostaria de ver diariamente, quem e a que horas acessou o
file.txt como você faria isso para minimizar a sobrecarga de informações, porque você usa alguns aplicativos que acessam file.txt e criam muito
de dados registrados. É necessário ver apenas acessos de arquivos a file.txt de outros usuários ( user1 , user2 , user3 , seus aplicativos, usuários remotos, etc.)
Existem ferramentas de espaço do usuário para filtrar e relatar eventos de auditoria. Consulte o link para alguns exemplos.
Para o seu caso, você pode tentar algo como:
ausearch --start today --success no --file /etc/file.txt | aureport --file
para ver todas as tentativas de acesso com falha no arquivo do dia atual.
Verifique as páginas de manual do ausearch e aureport para mais opções.
Supondo que você instalou o auditd, o que parece provável, já que você criou a regra com auditctl, você pode usar o uid.
Descubra o uid usando:
id user1
id user2
id user3
Verifique o registro selecionando o ID do usuário em questão.
cat /var/log/audit/audit.log | grep uid=1000
Isto assume que 1000 é o usuário para o qual você deseja ver o acesso de arquivo. Ele mostrará, por exemplo, quando o usuário 1000 visualizou o arquivo.txt auditado, neste caso usando cat.
type=SYSCALL msg=audit(1484859413.000:83): arch=c000003e syscall=2 success=yes exit=3 a0=7ffd50e9eefb a1=0 a2=20000 a3=7ffd50e9c8d0 items=1 ppid=28517 pid=28545 auid=1000 uid=1000 gid=1000 euid=1000 suid=1000 fsuid=1000 egid=1000 sgid=1000 fsgid=1000 tty=pts0 ses=435 comm="cat" exe="/bin/cat" key=(null) type=PATH msg=audit(1484859413.000:83): item=0 name="test.txt" inode=4847 dev=08:01 mode=0100644 ouid=1000 ogid=1000 rdev=00:00 nametype=NORMAL
Espero que isso seja o que você estava procurando!
Tags command-line security files logs audit