ファイルの削除を監査する
sudo auditctl -a always,exit -F arch=x86_64 -S unlink -S unlinkat -S rename -S renameat -k delete
ログの確認
- /var/log/audit/audit.log あたりに出力される
- ファイルを削除し、確認してみる
touch /tmp/hoge
rm /tmp/hoge
直接 /var/log/audit/audit.log を確認
type=SYSCALL msg=audit(1422323340.517:2275464): arch=c000003e syscall=263 success=yes exit=0 a0=ffffffffffffff9c a1=1cff0c0 a2=0 a3=7fff96a89c80 items=2 ppid=12985 pid=13018 auid=222 uid=222 gid=500 euid=222 suid=222 fsuid=222 egid=500 sgid=500 fsgid=500 ses=38002 tty=pts1 comm="rm" exe="/bin/rm" key="delete"
type=CWD msg=audit(1422323340.517:2275464): cwd="/tmp"
type=PATH msg=audit(1422323340.517:2275464): item=0 name="/tmp/" inode=8193 dev=ca:01 mode=041777 ouid=0 ogid=0 rdev=00:00 nametype=PARENT
type=PATH msg=audit(1422323340.517:2275464): item=1 name="/tmp/hoge" inode=14884 dev=ca:01 mode=0100664 ouid=222 ogid=500 rdev=00:00 nametype=DELETE
ausearchコマンドで検索
ausearch -f /tmp/hoge
----
time->Tue Jan 27 10:49:00 2015
type=PATH msg=audit(1422323340.517:2275464): item=1 name="/tmp/hoge" inode=14884 dev=ca:01 mode=0100664 ouid=222 ogid=500 rdev=00:00 nametype=DELETE
type=PATH msg=audit(1422323340.517:2275464): item=0 name="/tmp/" inode=8193 dev=ca:01 mode=041777 ouid=0 ogid=0 rdev=00:00 nametype=PARENT
type=CWD msg=audit(1422323340.517:2275464): cwd="/tmp"
type=SYSCALL msg=audit(1422323340.517:2275464): arch=c000003e syscall=263 success=yes exit=0 a0=ffffffffffffff9c a1=1cff0c0 a2=0 a3=7fff96a89c80 items=2 ppid=12985 pid=13018 auid=222 uid=222 gid=500 euid=222 suid=222 fsuid=222 egid=500 sgid=500 fsgid=500 ses=38002 tty=pts1 comm="rm" exe="/bin/rm" key="delete"