大規模なデータ盗難(ファイルアクセス)を事後に検出できますか?

大規模なデータ盗難(ファイルアクセス)を事後に検出できますか?

従業員が週末に終日オフィスに来て、しばらくして通知書を提出したとします。

Linux(私たちの場合はCentos 7)でデータ盗難の可能性を排除する方法はありますか?興味のあるアクティビティの種類は、多くのファイルを含むかなり大きなフォルダ(1 TB以上)を圧縮することです。これは、勤務時間中に理解できる時間のかかるプロセスです。

Centos 7サーバーへのアクセスは、AppleファイルプロトコルのオープンソースLinux実装であるNetaTalkを使用して接続されたiMacで行われているとします。

ほとんどのファイルは頻繁にアクセスされないため、実際には仮想週末までほとんどのファイルにアクセスしないと予想しています。私の考えでは、単純なファイルアクセスログだけでもそのような活動を配信するのに十分です。その日付にアクセスした内容が表示されます。

もしそうなら、あらかじめトレースを設定せずにLinux(Ext4と思う)ボリューム上の多数のファイルへのアクセス時間を一覧表示する方法はありますか?では、どうすればよいですか?

答え1

lsオプション-uを使用して、ファイルと最後のアクセス時間(デフォルトの最終変更時刻の代わりに)を一覧表示できます。

ls -lu

大量のファイルを確認したいので、再帰オプションが役に立ちます。

ls -luR

次のコマンドを使用して、過去2日間にアクセスしたすべてのファイルを一覧表示することもできますfind

find . -atime -2

また、複数の指定子を組み合わせて日付範囲を指定できます。

find . -atime +10 -atime -13

10〜13日前にアクセスしたファイルを見つけます。-daystartこのオプションは、コマンドが実行された日から24時間期間ではなく、逆日に基づいて推論する場合に便利です。

find . -daystart -atime +10 -atime -13

関連情報