ファイルの削除を監査する

sudo auditctl -a always,exit -F arch=x86_64 -S unlink -S unlinkat -S rename -S renameat -k delete
  • archは `uname -m`の結果

ログの確認

  • /var/log/audit/audit.log あたりに出力される
  • ファイルを削除し、確認してみる
touch /tmp/hoge
rm /tmp/hoge

直接 /var/log/audit/audit.log を確認

type=SYSCALL msg=audit(1422323340.517:2275464): arch=c000003e syscall=263 success=yes exit=0 a0=ffffffffffffff9c a1=1cff0c0 a2=0 a3=7fff96a89c80 items=2 ppid=12985 pid=13018 auid=222 uid=222 gid=500 euid=222 suid=222 fsuid=222 egid=500 sgid=500 fsgid=500 ses=38002 tty=pts1 comm="rm" exe="/bin/rm" key="delete"
type=CWD msg=audit(1422323340.517:2275464):  cwd="/tmp"
type=PATH msg=audit(1422323340.517:2275464): item=0 name="/tmp/" inode=8193 dev=ca:01 mode=041777 ouid=0 ogid=0 rdev=00:00 nametype=PARENT
type=PATH msg=audit(1422323340.517:2275464): item=1 name="/tmp/hoge" inode=14884 dev=ca:01 mode=0100664 ouid=222 ogid=500 rdev=00:00 nametype=DELETE

ausearchコマンドで検索

ausearch -f /tmp/hoge
----
time->Tue Jan 27 10:49:00 2015
type=PATH msg=audit(1422323340.517:2275464): item=1 name="/tmp/hoge" inode=14884 dev=ca:01 mode=0100664 ouid=222 ogid=500 rdev=00:00 nametype=DELETE
type=PATH msg=audit(1422323340.517:2275464): item=0 name="/tmp/" inode=8193 dev=ca:01 mode=041777 ouid=0 ogid=0 rdev=00:00 nametype=PARENT
type=CWD msg=audit(1422323340.517:2275464):  cwd="/tmp"
type=SYSCALL msg=audit(1422323340.517:2275464): arch=c000003e syscall=263 success=yes exit=0 a0=ffffffffffffff9c a1=1cff0c0 a2=0 a3=7fff96a89c80 items=2 ppid=12985 pid=13018 auid=222 uid=222 gid=500 euid=222 suid=222 fsuid=222 egid=500 sgid=500 fsgid=500 ses=38002 tty=pts1 comm="rm" exe="/bin/rm" key="delete"

facebook slideshare rubygems github qiita