这是一个创建于 589 天前的主题,其中的信息可能已经有所发展或是发生改变。
需要显示:操作时间、删除的文件名、用户名等? 对比了几个工具: inotifywait (无法显示用户名) auditctl ( 1.无法只监视 delete 操作,写操作也会记录、2.显示不够直观)
 | 1 InkStone 2024-05-15 10:16:22 +08:00 结合一下咯,用 inotify 检测到删除文件,就去 auditctl 中拉取删除信息。想展示成什么样自己拼接一下就好。 |
 | 2 debuggeeker 2024-05-15 10:17:30 +08:00 eBPF |
 | 3 ZXiangQAQ 2024-05-15 10:47:21 +08:00 inotify 只能拿到事件吧,想拿到用户名之类的信息,还是得审计日志 写个小工具监听审计日志,过滤到 nametype=DELETE 的条目,然后根据 key 拿文件名、用户名等信息 |
 | 4 codehz 2024-05-15 10:58:52 +08:00 用 bpftrace 监听 kprobe:vfs_unlink |
 | 5 guanzhangzhang 2024-05-15 12:32:28 +08:00 audid 部分版本会有问题,看过一个国外大佬分享视频,什么 perf 和 dtrace 和 system-tap 都没 bpftrace 快,找下 bpftrace 的对应 probe 和 tracepoint 监听下 |
 | 6 PTLin 2024-05-15 14:17:51 +08:00  1 下个 bpftrace ,然后运行 sudo bpftrace -e 't:syscalls:sys_enter_unlink* {time("%H:%M:%S");printf(" pid=%d, uid=%d, comm=%s, path=%s\n",pid,uid,comm,str(args->pathname));}' |
 | 7 JoeJasper 2024-05-16 11:08:50 +08:00 ``` sudo apt-get install bpftrace sudo bpftrace -e 't:syscalls:sys_enter_unlinkat {time("%H:%M:%S");printf(" pid=%d, uid=%d, comm=%s, path=%s\n",pid,uid,comm,str(args->pathname));}' ``` |
 | 8 brucewsl OP 最后使用了 Auditbeat ,基本可以满足需求 |
Select Language