# rmdir -p test(补充:这里以删除目录 test 为例)
# rmdir -p test1/test2/test3或者:
# rmdir --parents test1/test2/test3或者:
# rmdir --parents test1/test2/test3 test1/test2 test1(补充:这里以删除目录 test1/test2/test3,test1/test2 和 test1 为例)
放入 /dev/shm 的目录都是放入到内存中
当 /dev/shm 为空时其不会占用内存的空间
/dev/shm 的最大空间为内存的一半
系统重启后 /dev/shm 里的内容会被清空
配置文件格式:
-w <file> -p wa -k <search_key>命令格式:
# auditctl -w <file> -p wa -k <search_key>(
补充:
1) 这里的 <file> 是要监控的文件
2) 这里的 <search_key> 是个标识,用于简化在 audit 日志里搜索此命令
)
配置文件的案例:
-w /etc/group -p wa -k group_file命令案例:
# auditctl -w /etc/group -p wa -k group_file(
补充:这里以
1) 监控 /etc/group 文件
2) 标识是 group_file 为例
)
# augenrules# service auditd restart# auditctl -l# ausearch -k group_file(补充:这里以查看标识为 group_file 的 audit 日志为例)
https://access.redhat.com/solutions/3401281
配置文件格式:
-w <command> -p x -k <search_key>命令格式:
# auditcl -w <command> -p x -k <search_key>(
补充:
1) 这里的 <command> 是要监控的命令
2) 这里的 <search_key> 是个标识,用于简化在 audit 日志里搜索此命令
)
配置文件的案例:
-w /usr/bin/rm -p x -k rm_command命令案例:
# auditcl -w /usr/bin/rm -p x -k rm_command(
补充:这里以
1) 监控 /usr/bin/rm 命令
2) 标识是 rm_command 为例
)
# augenrules# service auditd restart# auditctl -l# ausearch -k rm_command(补充:这里以查看标识为 rm_command 的 audit 日志为例)
https://access.redhat.com/solutions/3401281
# cat /var/log/audit/audit.log | grep test.txt
......
type=PATH msg=audit(1532475291.426:18858423)......
......(
补充:
1) 这里以查看在 audit 日志中文件 test.txt 被修改的记录为例
2) 从这里的输出结果可以看到此次的修改记录中日志的编号是 18858423
)
# cat /var/log/audit/audit.log | grep ppid | grep 18858423
......
...... ppid=6027281 ......
......(
补充:
1) 这里以查看在 audit 日志中和日志编号 18858423 相同的的日志里记录的 PPID 为例
2) 这里的日志编号 18858423 是在步骤一中查到的
3) 从这里的输出结果可以看到和此日志编号相同的日志里记录的 PPID 是 6027281
)
# cat /var/log/messages | grep terminal=ssh | grep 6027281(
补充:
1) 这里以查看在系统日志中哪个用户登录系统时生成的是 PPID 6027281 为例
2) 这里的 PPID 6027281 是在步骤二中查到的
)