在 CentOS 系統中���,readdir 是一個用于讀取目錄內容的系統調用��。要記錄 readdir 的日志�,您可以使用 Linux 的審計子系統(auditd)來實現��。以下是開啟 readdir 日志記錄功能的步驟:
- 首先�����,確保已經安裝了 auditd 服務���。如果沒有���,請使用以下命令安裝:
sudo yum install audit
- 啟動 auditd 服務并設置開機啟動:
sudo systemctl start auditd
sudo systemctl enable auditd
- 創建一個新的審計規則文件��,例如
/etc/audit/rules.d/readdir.rules�����,并添加以下內容:
-a exit,always -F arch=b64 -S readdir -k readdir_audit
-a exit,always -F arch=b32 -S readdir -k readdir_audit
這里�,-a exit,always 表示在系統調用退出時總是應用規則�;-F arch=b64 和 -F arch=b32 分別表示針對 64 位和 32 位架構的系統���;-S readdir 表示要監控的 syscall 是 readdir����;-k readdir_audit 是為這個規則定義的關鍵字��,方便以后查詢和過濾日志�。
- 重新加載 auditd 配置以應用新的規則:
sudo augenrules --load
- 現在�����,每當有進程執行
readdir 系統調用時�����,相關信息都會被記錄到審計日志中��。您可以使用以下命令查看與 readdir_audit 關鍵字相關的日志:
sudo ausearch -k readdir_audit
如果您想查看更詳細的信息�����,可以添加 -i 選項:
sudo ausearch -k readdir_audit -i
請注意�,啟用詳細的日志記錄可能會對系統性能產生影響����。在生產環境中��,請根據實際需求調整審計規則的詳細程度�。
