在/var/log/aide/aide.log的更改文件部分中,每行以f或d开头都有前缀。 这些标志着文件的哪些方面发生了变化,但我似乎无法find它们的含义。 (很明显,我可以查看日志文件下面的文件的详细数据,但摘要行的明确参考对于grepping非常重要。)
这里有些例子:
f >.p.. mci.CA. .: /etc/passwd- d =.... mc.. .. .: /bin f =.... mci.C.. .: /bin/ip d =.... mc.n A. .: /u1/home 这在aide.conf手册页面中有详细介绍,为了完整性而在此处复制,并且是生成的报告的可configuration属性:
summarize_changes是否总结报告中添加,删除和更改的文件部分的变化。 有效值为yes,true,no和false。 默认是不要总结这些变化。
一般格式如stringYlZbpugamcinCAXS,其中Y由文件types( f代表一个常规文件, d代表一个目录, L代表一个符号链接, D代表一个字符设备, B代表一个块设备, F代表一个FIFO,一个unixsockets,否则)。
Z被replace如下:A =意味着大小没有改变,a <报告缩小的大小并且>报告增长的大小。
string中的其他字母是实际的字母,如果该项目的关联属性已被更改,则输出该字母,如果该属性已添加则为“ + ”,如果该属性已添加,则为“ 。 ”已被删除,如果该属性在ignore_list中列出,则为“:”,如果该属性未被检查,则为“”。 例外情况是:(1)新创build的文件用“ + ”replace每个字母,(2)删除的文件用“ – ”replace每个字母。
与每个字母关联的属性如下所示:
l表示链接名称已更改。b意味着块数已经改变。- 一个
p意味着权限已经改变。u意思是这个uid已经改变了。g表示gid已经改变。a意味着访问时间已经改变。m表示修改时间已经改变。c意味着更改时间已经改变。i意味着inode已经改变了。- 一个
n意味着链接计数已经改变。C表示一个或多个校验和已经改变。- A表示访问控制列表已更改。
X表示扩展属性已更改。S意味着SELinux属性已经改变。