inotifywait監控系列之一：對文件和目錄訪問進行記錄

發布時間：2020-06-12 11:31:52 來源：網絡閱讀：19705 作者：world77 欄目：安全技術

linux下有一個命令inotifywait，可以對文件及目錄的訪問進行記錄，默認的系統中沒有這個命令，需要安裝，在內核版本高于2.6.13

inotifywait 是一個可以實時監控文件變動的工具，它利用linux內核中的inotify機制實現監控功能，在內核高于2.6.13的版本中，據說不需要軟件的安裝包，OK,下面就讓我們開始inotify的體驗之旅吧：

[root@World77 ~]# uname  -a
Linux World77 2.6.32-042stab068.8 #1 SMP Fri Dec 7 17:06:14 MSK 2012 i686 i686 i386 GNU/Linux

我的內核版本比較高，可惜的是不能用yum來安裝，心里老郁悶了，可能是我的yum源的問題，不管了，那就下載源碼去安裝，反正一樣。

http://github.com/downloads/rvoicilas/inotify-tools/inotify-tools-3.14.tar.gz

下載之后解壓縮然后：configuration ，make make install 一切都很正常。

懷著激動的心情，敲下了inotifywait

   1: [root@World77 ~]# inotifywait –m /root

   2: inotifywait: error while loading shared libraries: libinotifytools.so.0: cannot                                                                              open shared object file: No such file or directory

居然報錯，那里出問題了。。。。

我找找貌似庫文件有問題，記得那里看到過這個問題，但是看到這類問題很糾結，后來不知道從那位前輩的博客上看到了這種問題的萬能解決辦法，下面來看看我是如何解決這種問題的，哈哈，老鳥勿噴啊。。。

   1: [root@World77 ~]# find / -name libinotifytools.so.0

   2: /usr/local/lib/libinotifytools.so.0

   3: /root/inotify-tools-3.14/libinotifytools/src/.libs/libinotifytools.so.0

   4: [root@World77 ~]# cp /root/inotify-tools-3.14/libinotifytools/src/.libs/libinoti                                                                             fytools.so.0 /usr/lib

   5: [root@World77 ~]# cp /root/inotify-tools-3.14/libinotifytools/src/.libs/libinoti                                                                             fytools.so.0 /usr/local/lib/

   6: cp: overwrite `/usr/local/lib/libinotifytools.so.0'? y

在源碼文件夾中找到庫文件，覆蓋就可以了，哈哈，果然是萬能的方法啊，但是這個vps是我練習所用，所謂的萬能的法子，有坑能對您不適應，尤其是生產機器中，千萬小心，弱出事情，本人概不負責。。。好了，下面讓我們來看看實際效果吧

   1: [root@World77 ~]# inotifywait -rm /root

   2: Setting up watches.  Beware: since -r was given, this may take a while!

   3: Watches established.

   4: /root/ OPEN .bash_profile

   5: /root/ ACCESS .bash_profile

   6: /root/ CLOSE_NOWRITE,CLOSE .bash_profile

   7: /root/ OPEN .bashrc

   8: /root/ ACCESS .bashrc

   9: /root/ CLOSE_NOWRITE,CLOSE .bashrc

  10: /root/ OPEN .bash_history

  11: /root/ ACCESS .bash_history

  12: /root/ CLOSE_NOWRITE,CLOSE .bash_history

  13: /root/ OPEN .bash_history

  14: /root/ ACCESS .bash_history

  15: /root/ CLOSE_NOWRITE,CLOSE .bash_history

  16: /root/ OPEN,ISDIR

  17: /root/ CLOSE_NOWRITE,CLOSE,ISDIR

  18: /root/ OPEN,ISDIR

  19: /root/ CLOSE_NOWRITE,CLOSE,ISDIR

  20: /root/ OPEN,ISDIR meinv

  21: /root/meinv/ OPEN,ISDIR

  22: /root/ CLOSE_NOWRITE,CLOSE,ISDIR meinv

  23: /root/meinv/ CLOSE_NOWRITE,CLOSE,ISDIR

  24: /root/ OPEN safe.sh

  25: /root/ ACCESS safe.sh

  26: /root/ MODIFY BlackIP.txt

  27: /root/ OPEN BlackIP.txt

  28: /root/ MODIFY BlackIP.txt

  29: /root/ CLOSE_WRITE,CLOSE BlackIP.txt

  30: /root/ ACCESS safe.sh

  31: /root/ OPEN BlackIP.txt

上述效果是我打開另外一個putty重新登錄服務器的時候，在一個終端內顯示的監控效果，哈哈，果然不錯，頓時開始性奮了，哈哈。。。

inotifywait 命令中的 -m 選項表示 monitor ，即開啟監視。-r 選項表示遞歸監視，比如上面監視整個 /root 目錄，如果在其中的子目錄下修改文件也是能被觀察到的。

還可以用 -e 選項指定要監控的“事件”(events)，比如：

   1: inotifywait -rme modify,attrib,move,close_write,create,delete,delete_self > /root/test.txt

如果不加參數-e的話，默認就是監控所有的事件，在運維服務器的時候，這個工具可以幫助你監控服務器上重要的配置文件和重要的目錄，哈哈，怎么樣，強大吧，如果感興趣的話，還不趕快去實驗一下，往后會介紹更高級的應用，如何把監控記錄到數據庫是下一個系列，敬請期待

向AI問一下細節

91超碰碰碰碰久久久久久综合_超碰av人澡人澡人澡人澡人掠_国产黄大片在线观看画质优化_txt小说免费全本

inotifywait監控系列之一：對文件和目錄訪問進行記錄

猜你喜歡

91超碰碰碰碰久久久久久综合_超碰av人澡人澡人澡人澡人掠_国产黄大片在线观看画质优化_txt小说免费全本

inotifywait監控系列之一：對文件和目錄訪問進行記錄

猜你喜歡

最新資訊

相關推薦

相關標簽