inotifyと同様に、非ファイルシステムイベントを監視しますか?

inotifyと同様に、非ファイルシステムイベントを監視しますか?

inotify私はLinuxでファイルシステムイベントを監視する方法を知っています。inotifyファイルシステムではなくイベントを監視するために使用できる同様のユーティリティがあるかどうか疑問に思います。

たとえば、特定の実行可能ファイルの開始または終了、他のホストからの接続の受信または切断、ファイルシステムのマウントまたはアンマウント、特定のユーザーのログインまたはログアウトによってトリガーできるイベントハンドラを登録したいとします。トリガーするイベントなど

syslogたとえば、ランダム実行可能ファイルの開始と停止はどこにも記録されないため、この機能はこの目的には不十分です。インストールとアンインストールにも同じことが当てはまります。

私はファイルシステムから情報を読み、/proc見つけた条件に従ってコードを実行するプログラムを書くことができることを知っています。私はまた、監視wtmpやその他のリソース用のプログラムを書くことができ、見つかった内容に基づいて同様にコードを実行できることを知っています。しかし、inotify標準インターフェイスでこのタイプの非ファイルシステム監視タスクをカプセル化するために使用できる同様のツールがあるかどうかを知りたいです。

どんなアドバイスもありがとうございます。

答え1

私はSysdigを使用して必要なものの少なくとも一部を達成できると信じていますChisels。 Sysdigは、Linuxシステムコールを監視するためのオープンソースツールです。これらのドラッグを使用すると、観察されたシステムコールに基づいて操作を実行するスクリプトを作成できます。

見てユーザーマニュアル

答え2

Linux 監査サブシステムも確認できます。 RHELに関する有用な文書は次の場所にあります。https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/6/html/security_guide/chap-system_auditing

監査ログにイベントを記録するルールを追加し、監査ログを解析して目的の操作を実行できます。

関連情報