inotify
私はLinuxでファイルシステムイベントを監視する方法を知っています。inotify
ファイルシステムではなくイベントを監視するために使用できる同様のユーティリティがあるかどうか疑問に思います。
たとえば、特定の実行可能ファイルの開始または終了、他のホストからの接続の受信または切断、ファイルシステムのマウントまたはアンマウント、特定のユーザーのログインまたはログアウトによってトリガーできるイベントハンドラを登録したいとします。トリガーするイベントなど
syslog
たとえば、ランダム実行可能ファイルの開始と停止はどこにも記録されないため、この機能はこの目的には不十分です。インストールとアンインストールにも同じことが当てはまります。
私はファイルシステムから情報を読み、/proc
見つけた条件に従ってコードを実行するプログラムを書くことができることを知っています。私はまた、監視wtmp
やその他のリソース用のプログラムを書くことができ、見つかった内容に基づいて同様にコードを実行できることを知っています。しかし、inotify
標準インターフェイスでこのタイプの非ファイルシステム監視タスクをカプセル化するために使用できる同様のツールがあるかどうかを知りたいです。
どんなアドバイスもありがとうございます。
答え1
私はSysdigを使用して必要なものの少なくとも一部を達成できると信じていますChisels
。 Sysdigは、Linuxシステムコールを監視するためのオープンソースツールです。これらのドラッグを使用すると、観察されたシステムコールに基づいて操作を実行するスクリプトを作成できます。
答え2
Linux 監査サブシステムも確認できます。 RHELに関する有用な文書は次の場所にあります。https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/6/html/security_guide/chap-system_auditing。
監査ログにイベントを記録するルールを追加し、監査ログを解析して目的の操作を実行できます。