4人だけがアクセスできるLinuxサーバー(AzureのVM)があり、誰もそのサーバーで何もしません。ただし、一部のファイルは特定のフォルダから消え続けます。
誰もが理由と方法を理解するのに役立ちますか?端末でどのコマンドを使用する必要がありますか?私はLinuxについてよく知らなかったので、この質問をします。
答え1
$ systemctl enable auditd
ファイルにこれを使用してください/etc/audit/rules.d/audit.rules:
## First rule - delete all
-D
## Increase the buffers to survive stress events.
## Make this bigger for busy systems
# -b 8192
# set from 8k to 1mb
-b 1048576
# 2 is shutdown, 1 is runlevel 1
-f 1
-a always,exit -F arch=b32 -S unlink -F auid>=1000 -F auid!=unset -k delete
-a always,exit -F arch=b64 -S unlink -F auid>=1000 -F auid!=unset -k delete
-a always,exit -F arch=b32 -S unlink,unlinkat,rename,renameat,rmdir -F auid>=1000 -F auid!=unset -k delete
-a always,exit -F arch=b64 -S unlink,unlinkat,rename,renameat,rmdir -F auid>=1000 -F auid!=unset -k delete
-w /etc/passwd -p wa -k watchXXX
$ service auditd restart
/var/log/audit/audit.log次に、ファイルが削除された時期と方法に関する指示を確認してください。国旗audit.log別に検索してみてください。これがうまくいけば、 audit.log で見つけやすくなるように構文を変更してください。delete-k deletedeleteDELETEXYZ
を使用して、-wこれらの監査レコードを監視および表示することもできます-k watchXYZ。
audit.logを解析することは言葉のように簡単ではありませんが、ルールファイルからタグだけを検索すると、deleteファイル/フォルダの削除に関するデータがそこにあります。-k delete
メモ:何も得られない場合は削除または調整しますが、-F auid>=1000 -F auid!=unset短時間で多くのaudit.logを処理する準備をします。