Linuxlogging谁最后更改了一个文件(而不是创build它)? 如果是这样,我怎么find这个呢? 如果没有,是否有某种监控文件的方式?
查看谁对文件进行了更改
使用您的分发包pipe理器安装audit包并启动服务。
为您感兴趣的文件设置监视,例如/etc/passwd
# auditctl -w /etc/passwd -p war -k password-file
查看该文件的auditlogging
# ausearch -f /etc/passwd | less
一般来说,不。 我从来没有尝试过,但如果你想跟踪访问特定文件的用户,你可以看看审计
不,没有logging谁修改了哪个文件。
为了给你一个想法,你可以检查日志以查看当时谁已经login,在理想情况下,可以检查历史文件。