需要显示:操作时间、删除的文件名、用户名等? 对比了几个工具: inotifywait (无法显示用户名) auditctl ( 1.无法只监视 delete 操作,写操作也会记录、2.显示不够直观)
1
InkStone 258 天前
结合一下咯,用 inotify 检测到删除文件,就去 auditctl 中拉取删除信息。想展示成什么样自己拼接一下就好。
|
2
debuggeeker 258 天前
eBPF
|
3
ZXiangQAQ 258 天前
inotify 只能拿到事件吧,想拿到用户名之类的信息,还是得审计日志
写个小工具监听审计日志,过滤到 nametype=DELETE 的条目,然后根据 key 拿文件名、用户名等信息 |
4
codehz 257 天前
用 bpftrace
监听 kprobe:vfs_unlink |
5
guanzhangzhang 257 天前
audid 部分版本会有问题,看过一个国外大佬分享视频,什么 perf 和 dtrace 和 system-tap 都没 bpftrace 快,找下 bpftrace 的对应 probe 和 tracepoint 监听下
|
6
PTLin 257 天前 1
下个 bpftrace ,然后运行
sudo bpftrace -e 't:syscalls:sys_enter_unlink* {time("%H:%M:%S");printf(" pid=%d, uid=%d, comm=%s, path=%s\n",pid,uid,comm,str(args->pathname));}' |
7
JoeJasper 256 天前
```
sudo apt-get install bpftrace sudo bpftrace -e 't:syscalls:sys_enter_unlinkat {time("%H:%M:%S");printf(" pid=%d, uid=%d, comm=%s, path=%s\n",pid,uid,comm,str(args->pathname));}' ``` |
8
brucewsl OP 最后使用了 Auditbeat ,基本可以满足需求
|