Linux-监控文件被进程修改的记录

为啥要写这边文章？因为网站被挂马，直接可以修改网站文件，设置权限啥的都不能解决，希望这个工具能有用

先安装

 yum install  audit

配置规则，比如监控网站下robots.txt 文件是否被某个进程修改

 auditctl -w /htdocs/www/robots.txt -p wae -k robots

-w 指明要监控的文件
-p awrx 要监控的操作类型，append, write, read, execute
-k 给当前这条监控规则起个名字，方便搜索过滤

查看修改记录，并生成报表

ausearch -i -k robots