inotify나는 리눅스에서 파일 시스템 이벤트를 모니터링하는 방법을 알고 있습니다 . inotify파일 시스템이 아닌 이벤트를 모니터링하는 데 사용할 수 있는 유사한 유틸리티가 있는지 궁금합니다 .
예를 들어, 특정 실행 파일의 시작 또는 종료, 다른 호스트로부터의 연결 수신 또는 연결 해제, 파일 시스템 마운트 또는 마운트 해제, 특정 사용자의 로그인 또는 로그아웃에 의해 트리거될 수 있는 이벤트 핸들러를 등록하고 싶습니다. 트리거할 이벤트 등
syslog예를 들어 임의 실행 파일의 시작 및 중지는 어디에도 기록되지 않기 때문에 이 기능은 이 목적에 충분하지 않습니다. 설치 및 제거에도 동일하게 적용됩니다.
나는 파일 시스템에서 정보를 읽고 /proc찾은 조건에 따라 코드를 실행하는 프로그램을 작성할 수 있다는 것을 알고 있습니다. 나는 또한 모니터링 wtmp및 기타 리소스를 위한 프로그램을 작성할 수 있고 발견된 내용을 기반으로 유사하게 코드를 실행할 수 있다는 것도 알고 있습니다. 그러나 inotify표준 인터페이스에서 이러한 유형의 비파일 시스템 모니터링 작업을 캡슐화하는 데 사용할 수 있는 유사한 도구가 있는지 알고 싶습니다 .
어떤 조언이라도 감사드립니다.
답변1
저는 Sysdig를 사용하여 원하는 것 중 적어도 일부를 달성할 수 있다고 믿습니다 Chisels. Sysdig는 Linux 시스템 호출을 모니터링할 수 있는 오픈 소스 도구입니다. 이러한 끌을 사용하면 관찰된 시스템 호출을 기반으로 작업을 수행하는 스크립트를 작성할 수 있습니다.
보세요사용자 설명서
답변2
Linux 감사 하위 시스템도 확인할 수 있습니다. RHEL에 대한 유용한 문서는 다음 위치에 있습니다.https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/6/html/security_guide/chap-system_auditing.
감사 로그에 이벤트를 기록하는 규칙을 추가하고 감사 로그를 구문 분석하여 원하는 작업을 수행할 수 있습니다.