Можно ли регистрировать события файловой системы, такие как копирование, изменение, удаление и создание файлов и папок на рабочей станции? Я в основном использую Windows, но я хотел бы знать, возможно ли это и в Linux. Если такая функциональность не встроена, есть ли коммерческий продукт, который может предложить эту функциональность?

Это то, что я хотел бы включить в файл журнала.

Date         Time    User      Action   Type    Source                   Destination
2013-03-12   15:10   Austin    Copy     File    K:\Alabama\Mobile.txt    L:\Mobile.txt
2013-04-15   09:12   Bradley   Create   Folder                           C:\Chicago
2013-04-23   13:45   Cedric    Delete   Folder  G:\Colorado
2013-05-04   16:03   David     Modify   File    D:\Florida\Miami.txt

Это может выглядеть не совсем так, но что-то похожее. Я хотел бы знать, кто что сделал, в какое время, где и в какую папку или файл. Это, казалось бы, очень простой журнал, но он был бы очень полезен.

Обновить

Решение, предложенное в связанном вопросе выше, говорит о том, что следует использовать групповую политику в Microsoft Management Console для включения аудита объектов, а затем Event Viewer для просмотра журналов.

Я включил аудит для моего собственного имени пользователя в папке Desktop и попытался создать текстовый файл. За ту же секунду, что файл был создан, в журнале появилось 39 новых событий! Когда я создал файл, я посмотрел на часы, а затем отфильтровал журнал событий, созданных в эту секунду. Затем мне пришлось просматривать их один за другим, чтобы найти событие, в котором четко указаны путь и имя файла.

Когда я попытался удалить файл (постоянный, не перезаписывая в мусорное ведро), в ту же секунду было зарегистрировано 210 событий. Кто, черт возьми, хочет пройти через все события, чтобы найти правильное? Чтобы найти точное событие, я должен был бы заранее знать, что произошло определенное событие. Что делает всю цель этого бесполезной. И мне нужно знать кое-что о четности, то есть имя созданного файла или что-то еще, и попытаться отфильтровать это. В журнале безопасности хранится 28000 событий.

По этой причине я не думаю, что это решение проблемы. Ну, в любом случае, это не разумно. Для этого было бы намного проще использовать специальный инструмент. Журнал безопасности в Windows регистрирует все виды событий, связанных с безопасностью, которые мне совершенно неинтересны.

|источник

1 ответ1

4

Похоже, работа для Process Monitor в Windows и inotifywait в Linux

Примеры:

Вот скриншот Process Monitor в действии

И вот inotify, ожидающий изменений в конкретном подкаталоге:

$ inotifywait -m /tmp/stuffthings/
Setting up watches.  
Watches established.
/tmp/stuffthings/ OPEN,ISDIR 
/tmp/stuffthings/ CLOSE_NOWRITE,CLOSE,ISDIR 
/tmp/stuffthings/ CREATE file.txt
/tmp/stuffthings/ OPEN file.txt
/tmp/stuffthings/ MODIFY file.txt
/tmp/stuffthings/ CLOSE_WRITE,CLOSE file.txt

Вы можете установить inotifywait и связанные с ним программы в Ubuntu следующим образом:

sudo apt-get install inotify-tools
|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .