sudo auditctl -p a -w /some/file  # monitor attribute changes to /some/file

它在审计包中,如果你没有安装,那么sudo yum install audit

输出以下列形式进入/var/log/audit/audit.log：

type=SYSCALL msg=audit(1325185116.524:1133): arch=c000003e syscall=2 success=yes exit=3 a0=671600 a1=241 a2=1b6 a3=9 items=1 ppid=26641 pid=26643 auid=501 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 ses=1 comm="jmacs" exe="/usr/bin/joe" subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key=(null)
  type=CWD msg=audit(1325185116.524:1133):  cwd="/tmp"
  type=PATH msg=audit(1325185116.524:1133): item=0 name="/etc/passwd" inode=531545 dev=fd:01 mode=0100644 ouid=0 ogid=0 rdev=00:00 obj=system_u:object_r:etc_t:s0

它有点密集,但请注意msg = audit(###)字符串在多行中排成一行.

>现在我实际上第一次阅读了联机帮助页,我看到一些关于使用-Farch = b32 / -Farch = b64的注意事项,所以看起来有一些关于32位vs-64位系统调用的可能怪异,所以如果你没有得到审计,那可能就是原因.我以前从来没有真正看过这个,但是自从Athlon时代以来我没有真正运行任何32位进程,所以我不能很好地说出来.