CenOsにアイテムを記録しますか?

CenOsにアイテムを記録しますか?

/tmpフォルダに疑わしいファイルが見つかると、マルウェア検出機能がそのファイルをクリーンアップします。しかし、このファイルをアップロードした人が誰であるか、どのスクリプトとユーザーアカウントが使用されているかを知りたいです。 /tmp フォルダにエントリだけを継続的に記録し、そのフォルダ内の各ファイルの IP およびアクセス時間のみを含むログファイルを生成する方法はありますか?

他のすべての既存のログでエントリを見つけようとしましたが、どのログファイルでもエントリを見つけることができませんでした。

ありがとうございます。

答え1

監査サブシステムを使用して、誰が/ tmpにファイルを作成したかを確認します。まず、監査デーモン(auditd)が実行されていることを確認してください。

# service auditd status
Redirecting to /bin/systemctl status  auditd.service
● auditd.service - Security Auditing Service
   Loaded: loaded (/usr/lib/systemd/system/auditd.service; enabled; vendor preset: enabled)
   Active: active (running) since Wed 2017-08-30 03:43:01 EDT; 2 days ago

次に、/ tmpディレクトリへの書き込み(ファイルの作成、削除、名前変更など)を監視するルールを追加します。

# auditctl -w /tmp -p w -k "tmp"

これにより、/ tmpディレクトリに監視が作成され、すべての書き込みが監査ログに書き込まれます。ログは/var/log/auditにあります。 "tmp"を使用してすべての項目を見つけることができます。

関連情報