[步骤] 文件或目录的监控 (audit 版)

步骤一:使用 audit 监控文件或目录

1.1 在 audit 的策略里添加要监控的目录或文件

1.1.1 案例一:监控某个目录以及目录下的目录和文件
# vim /etc/audit/rules.d/audit.rules

添加以下内容:

......
-a exit,always -F dir=/tmp -F perm=rwxa

(补充:这里以监控目录 /tmp 里的目录和文件为例)

1.1.2 案例二:监控某个文件
# vim /etc/audit/rules.d/audit.rules

添加以下内容:

......
-a exit,always -S unlink -S unlinkat -S rmdir -S rename -S renameat -F path=/dev/null

(补充:这里以监控目录 /dev/null 文件为例)

1.2 让监控目录或文件的配置生效

# service auditd restart

步骤二:显示 audit 监控记录

# cat /var/log/audit


补充:记录里的
1) nametype=CREATE 字段代表创建
2) nametype=NORMAL 字段代表普通
3) nametype=DELETE 字段代表删除

或者:

# sudo ausearch -i -k user-modify

(补充:这里以显示文件被修改的记录为例)

[内容] Linux 常用日志 (openSUSE & SUSE 版)

1) /var/log/boot.msg,包含系统启动时显示在屏幕上的信息
(补充:当进入系统时,可以同时按下 “ctrl” 键和 “alt” 键和 “f10” 键切换到显示日志的界面,之后可以再通过 KVM 显示系统启动时显示在屏幕上的信息。)
2) /var/log/boot.omsg,包含上一次系统启动时显示在屏幕上的信息
3) /var/log/messages,包含几乎所有日志
4) /var/log/warn,包含 WARNING 也就是级别 4 以上的所有日志
5) /var/log/wtmp,包含和系统登录和重启的所有日志
(补充:可以通过 last 命令读取)
6) /var/log/YaST2/y2log,包含 YaST 的所有日志
7) /var/log/xinetd.log,包含 xinetd 服务的所有日志
8) /var/log/dump/,包含 Kdump 工具在系统宕机时收集的所有故障信息
9) /var/log/atop,包含 Atop 工具收集的系统资源 (CPU、内存、系统进程、IO) 的所有使用信息

[步骤] Linux 提高触发 Kdump 的几率

注意:

在提高触发 Kdump 的几率之前要先开启 Kdump:

正文:

步骤一:配置提高触发 Kdump 几率的参数

1.1 配置提高触发 Kdump 几率的参数

# vim /etc/sysctl.conf

添加以下内容:

......
kernel.softlockup_panic = 1

1.2 让刚刚配置的参数生效

# sysctl -p

(注意:此时每有一次软锁都会触发 Kdump)

步骤二:当 Kdmup 触发后分析奔溃的信息

步骤三;删除提高触发 Kdump 几率的参数 (重要)

3.1 删除提高触发 Kdump 几率的参数 (重要)

# vim /etc/sysctl.conf

删除以下内容:

......
kernel.softlockup_panic = 1

3.2 让刚刚删除参数的配置生效 (重要)

# sysctl -p

(注意:此时每有一次软锁都会触发 Kdump)

参考文献:

https://www.suse.com/support/kb/doc/?id=000019217