安裝: apt-get install auditd.

1.auditd 是后臺守護進程，負責監控記錄
2.auditctl 配置規則的工具
3.auditsearch 搜索查看
4.aureport 根據監控記錄生成報表

比如，監控 /root/.ssh/authorized_keys 文件是否被修改過：

aditctl -w /root/.ssh/authorized_keys -p war -k auth_key

•-w 指明要監控的文件
•-p awrx 要監控的操作類型，append, write, read, execute
•-k 給當前這條監控規則起個名字，方便搜索過濾

查看修改紀錄：ausearch -i -k auth_key，生成報表 aureport.

以上這篇Linux 監控文件被什么進程修改(詳解)就是小編分享給大家的全部內容了，希望能給大家一個參考，也希望大家多多支持VEVB武林網。