1个回答
展开全部
跟踪估计需要写底层的程序,你可以通过修改rm来进行跟踪,但是比较复杂
而且你还需要重新编译rm,这样比较复杂。
你可以通过记录rm命令的使用情况,记录的方式可以重新写个调用rm命令的脚本
放到执行目录下,当执行rm命令时,记录使用者,及其时间和登录IP.这种shell脚本很多
你可以百度一下,检查一下日志的所有者权限,针对有可能读写日志的用户进行监控。
缩小日志读写操作范围。因为具体不知道你被删的是那些日志文件,而且是怎么删除的,
是日志消失了。还是日志存在但是被清空了。你也可以写个脚本对这个日志文件进行监控,
针对不同情况,当发生问题时告警,因为不知道你的具体情况不好分析,我只能简单的说说。
而且你还需要重新编译rm,这样比较复杂。
你可以通过记录rm命令的使用情况,记录的方式可以重新写个调用rm命令的脚本
放到执行目录下,当执行rm命令时,记录使用者,及其时间和登录IP.这种shell脚本很多
你可以百度一下,检查一下日志的所有者权限,针对有可能读写日志的用户进行监控。
缩小日志读写操作范围。因为具体不知道你被删的是那些日志文件,而且是怎么删除的,
是日志消失了。还是日志存在但是被清空了。你也可以写个脚本对这个日志文件进行监控,
针对不同情况,当发生问题时告警,因为不知道你的具体情况不好分析,我只能简单的说说。
本回答由提问者推荐
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
