在Debian系统中,inotify是一个用于监控文件系统事件的Linux内核子系统。要配置inotify日志记录,你需要使用auditd服务。以下是配置inotify日志记录的步骤:
sudo apt-get update
sudo apt-get install auditd audispd-plugins
编辑/etc/audit/auditd.conf文件,确保以下配置项已设置:
log_format = RAW
log_target = SYSLOG
name_format = HOSTNAME
这将使auditd将日志记录到系统日志中。
创建一个新的审计规则文件,例如/etc/audit/rules.d/inotify.rules,并添加以下内容:
# 监控/etc/passwd文件的变化
-w /etc/passwd -p wa -k passwd_change
# 监控/var/log/auth.log文件的变化
-w /var/log/auth.log -p wa -k auth_log_change
这里的-w表示要监控的文件或目录,-p表示要监控的权限(w表示写入,a表示追加),-k表示自定义的日志键。
sudo systemctl restart auditd
你可以使用以下命令查看inotify相关的日志:
grep inotify /var/log/syslog
或者使用ausearch命令:
sudo ausearch -k passwd_change
sudo ausearch -k auth_log_change
这样,你就成功配置了Debian系统中的inotify日志记录。根据需要,你可以修改/etc/audit/rules.d/inotify.rules文件来添加更多的监控规则。
