আমি ফাইলটি কতবার খোলা হয়েছে তার সন্ধান করার চেষ্টা করছি (ওএস শুরুর পর থেকে)। আমি স্ট্যাটের মাধ্যমে এটি করার কথা ভাবছি, তবে বেশিরভাগ পতাকাগুলি কেবল এটি খোলার শেষ সময়ের মধ্যে পার্থক্যটি ফিরিয়ে দেয়।
আমি ফাইলটি কতবার খোলা হয়েছে তার সন্ধান করার চেষ্টা করছি (ওএস শুরুর পর থেকে)। আমি স্ট্যাটের মাধ্যমে এটি করার কথা ভাবছি, তবে বেশিরভাগ পতাকাগুলি কেবল এটি খোলার শেষ সময়ের মধ্যে পার্থক্যটি ফিরিয়ে দেয়।
উত্তর:
এই উত্তরটি কী করা দরকার তা ব্যাখ্যা করে, তবে কীভাবে আপনার বিতরণ, আপনার সেটআপ এবং উদ্দেশ্য এবং আপনি কী কী সরঞ্জামগুলি ডেটা পার্স করতে চান তা নির্ভর করে:
আপনি যা সন্ধান করছেন তা হ'ল লিনাক্সের মধ্যে অডিট ডিমন। নিবন্ধিত ম্যানপেজ থেকে (8) :
অডিটড হ'ল লিনাক্স অডিটিং সিস্টেমের ইউজারস্পেস উপাদান। এটি ডিস্কে অডিট রেকর্ড লেখার জন্য দায়ী। লগগুলি দেখতে আউশার্ক বা আওরপোর্ট ইউটিলিটিগুলির সাহায্যে সম্পন্ন করা হয় । নিরীক্ষার বিধিগুলি কনফিগার করা অডিটেক্টল ইউটিলিটি দিয়ে সম্পন্ন হয় । প্রারম্ভকালীন সময়ে, নিয়মগুলি অডিটেক্টল
/etc/audit/audit.rules
দ্বারা পড়তে হয় এবং কার্নেলের মধ্যে লোড করা হয়। পরিবর্তিতভাবে, একটি অজেনারলস প্রোগ্রাম রয়েছে যা এর মধ্যে থাকা নিয়মগুলি পড়ে এবং সেগুলি একটি ফাইলে সংকলিত করে । অডিট ডিমন নিজেই কিছু কনফিগারেশন বিকল্প রয়েছে যা অ্যাডমিন কাস্টমাইজ করতে চাইতে পারে। তারা ফাইল পাওয়া যায় ।/etc/audit/rules.d/
audit.rules
auditd.conf
অডিটিং আপনার স্পেসিফিকেশন অনুযায়ী নির্দিষ্ট সিস্টেম কল করার সময় লগগুলি তৈরি করতে কার্নেলের মধ্যে নির্মিত ফাংশনগুলি ব্যবহার করে। একবার সেটআপ হয়ে গেলে আপনি /var/log/audit
আপনার বিতরণ অনুযায়ী লগ ইন বা অন্য কোথাও অনুরূপ খুঁজে পাবেন ।
কোনও ফাইলে অ্যাক্সেস অডিট করতে, আপনি এর অনুরূপ কিছু ব্যবহার করবেন:
auditctl -w /path/to/interesting/files/ -p rwxa -k myfileaudits
যেখানে -w
ফাইলগুলির পাথ নির্দিষ্ট করা হয়েছে তা -p
সুনির্দিষ্ট করে যে সিস্টেমটি r eads w rites, e x ecums, এবং একটি ttribute or પરવાનગી পরিবর্তনের নিরীক্ষণ করবে। অবশেষে, -k
বিকল্পটি আপনাকে এউসার্কের সাহায্যে এই বিধিটি অনুসন্ধান করার সময় ব্যবহারের জন্য একটি স্বেচ্ছাসেবক কী নির্দিষ্ট করতে দেয় ।
দ্রষ্টব্য, যদিও অডিটেড সিস্টেম কলগুলি বন্ধ -p r
করে দেয়, পঠন ফাংশনটি ট্র্যাক করে না , বরং খোলার জন্য যাতে লগগুলি প্রতিটি পঠনের সাথে প্লাবিত না হয় তবে প্রতিবার ফাইল পড়ার জন্য একটি ফাইল খোলার সময় একটি প্রবেশিকা তৈরি করা হয়।
একবার অডিটিংটি চালু হয়ে গেলে এবং লগগুলি তার জায়গায় রাখার পরে, আউশার্ক নির্দিষ্ট ফাইলগুলিতে সমস্ত অ্যাক্সেসের জন্য এই লগগুলি পার্স করতে ব্যবহার করতে পারে এবং লম্বা উত্পন্ন করতে স্ট্যান্ডার্ড পাঠ্য বা পরিসংখ্যান সরঞ্জামগুলি ব্যবহার করা যেতে পারে। এই থেকে বিভিন্ন রকমের হতে পারে grep
এবং wc -l
লগ এন্ট্রি গণনা, বা স্ক্রিপ্টিং ও কিছু সমন্বয় গনুহ-আর বা gnuplot গ্রাফ এবং রিপোর্ট তৈরি করতে।
অন্য বিকল্প হ'ল এসইএলিনাক্স ব্যবহার করা । যদিও সেলইনাক্স অ্যাক্সেস নিয়ন্ত্রণের জন্য একটি সরঞ্জাম যা সাধারণত অ্যাক্সেস-অস্বীকারগুলিকে লগ করে, সমস্ত অ্যাক্সেস লগ করার জন্য এটি সেটআপ করা যেতে পারে এবং নিরীক্ষণের জন্য অনুরূপ তথ্য সরবরাহ করতে পারে।
সম্পাদনা: যদি প্রথম থেকেই অ্যাক্সেসের রেকর্ডের প্রয়োজন হয় : উদাহরণস্বরূপ, ওএস ইনস্টলেশন চলাকালীন, নিরীক্ষণ শুরুর আগে বুটের সময়, বা নিরীক্ষণ ইনস্টলেশন করার আগে, তারপরে আরও চূড়ান্ত ব্যবস্থা গ্রহণ করা প্রয়োজন। initrd.img
প্রয়োজনীয় ডিবাগার বা কার্নেল স্তরের ট্রেসিং সরঞ্জামগুলি লোড করতে একটি কাস্টম ইনস্টলার বা কাস্টম বুট ফাইল তৈরি করতে হবে। এই ট্রেসিং সরঞ্জাম অন্তর্ভুক্ত হতে পারে dtrace , জন্য perf , SystemTap দ্বারা , ktap বুট করার সময় এক্সেস ধরতে বা অনুরূপ ডিবাগার স্তর সরঞ্জাম। একটি ভাল রেফারেন্স হ'ল http://www.brendangregg.com/linuxperf.html এবং সিস্টেমের পারফরম্যান্সের জন্য এই জাতীয় বিশ্লেষণের একটি উদাহরণ, অডিট না করে বুটচার্ট ।
এটি সেট আপ করা আমার অভিজ্ঞতার বাইরে নয় - আশা করি উল্লেখগুলি কার্যকর প্রমাণিত হয়েছে।
i_*time
বিভিন্ন প্রবেশাধিকারের সময় যেমন : প্রবেশাধিকার, ইনোড পরিবর্তন, ডেটা পরিবর্তন এবং মুছে ফেলার জন্য struct