Monitoring
監視非文件系統事件類似於 inotify?
我知道如何
inotify在 linux 下使用來監視文件系統事件。我想知道是否有任何類似於inotify可用於監視非文件系統事件的實用程序。例如,我想註冊事件處理程序,這些事件處理程序可以由某些執行檔的啟動或關閉、收到與其他主機的連接或斷開連接、文件系統的掛載或解除安裝、某些使用者的登錄或註銷等事件觸發,等等
該
syslog功能不足以實現此目的,因為(例如)任意執行檔的啟動和停止都不會記錄在任何地方。對於任意掛載和解除安裝也是如此。我知道我可以編寫程序來從
/proc文件系統讀取資訊並根據它找到的條件執行程式碼。我也知道我可以編寫程序來監視wtmp和其他此類資源,並根據找到的內容類似地執行程式碼。但是,我想知道是否有某種類似的工具inotify可用於將這些類型的非文件系統監視任務封裝在標準介面下。感謝您的任何建議。
我相信你至少可以用 Sysdig 做一些你正在尋找的事情
Chisels。Sysdig 是一個開源工具,可讓您監控 Linux 系統呼叫。鑿子使您能夠編寫腳本以根據觀察到的系統呼叫執行操作。看看使用者指南
您還可以查看 Linux 審計子系統,關於 RHEL 的好文件位於https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/6/html/security_guide/chap-system_auditing。
您可以添加規則,在審核日誌中記錄事件,並解析審核日誌以執行您喜歡的任何操作。