在 CentOS 中,要监控用户删除操作,您可以使用 auditd 服务
sudo yum install audit
sudo systemctl start auditd
sudo systemctl enable auditd
/home/user 目录中的所有文件和子目录的删除操作,请执行以下命令:sudo auditctl -w /home/user -p wa -k delete_home_user
这里,-w 参数指定要监控的文件或目录,-p wa 参数表示要监控的权限更改(写入和属性更改),-k delete_home_user 参数是一个自定义的关键字,用于在审计日志中过滤相关事件。
sudo systemctl restart auditd
/home/user 目录中的任何文件或子目录时,auditd 服务都会记录相应的事件。您可以使用以下命令查看审计日志:sudo ausearch -k delete_home_user
这将显示与 delete_home_user 关键字相关的所有审计事件。如果您需要保存这些日志以供将来分析,可以将它们写入一个文件中:
sudo ausearch -k delete_home_user -ts today -ot audit.log
这将把今天的审计事件写入名为 audit.log 的文件中。根据需要调整 -ts 和 -ot 参数以更改日志的时间范围和输出文件。
亿速云「云服务器」,即开即用、新一代英特尔至强铂金CPU、三副本存储NVMe SSD云盘,价格低至29元/月。点击查看>>
相关推荐:如何在CentOS中删除用户