shell脚本-入侵检测与告警
原理
利用inotifywait命令对一些重要的目录作一个实施监控,例如:当/root 、/usr/bin 等目录发生改变的,利用inotifywait看可以对其作一个监控作用。
inotifywait
介绍
inotifywait 是一个 Linux 下的命令行工具,用于监视文件系统的变化。它基于 inotify 机制,可以实时监控文件或目录的变化,并在发生变化时触发相应的动作。它可以监控文件的创建、删除、修改、移动等操作,并提供了丰富的选项和参数,可以根据需要进行定制化配置。inotifywait 可以用于实时监控日志文件、备份文件、配置文件等,可以方便地进行文件同步、备份、自动化处理等任务。
安装
yum install inotifywait -y
常用参数
--timefmt 时间格式
%y年 %m月 %d日 %H小时 %M分钟
--format 输出格式
%T时间 %w路径 %f文件名 %e状态
-m 始终保持监听状态,默认触发事件即退出
-r 递归查询目录
-q 减少不必要的输出(只打印事件信息)
-e 定义监控的事件,可用参数:
open 打开文件
access 访问文件
modify 修改文件
delete 删除文件
create 新建文件
attrib 属性变更
--exclude <pattern> 指定要排除监控的文件/目录
示例
inotifywait /usr/local -r --timefmt '%d/%m/%y %H:%M' --format "%T %f" -e MODIFY --exclude '^.*.swp$'
shell脚本
#!/bin/bash
MON_DIR=/opt/scripts
inotifywait -mqr --format %f -e create $MON_DIR | \
while read files; do
echo "`date +%F_%T` _$files" >> file_mon.log
done
推荐使用采用email通知shell脚本:
#!/bin/bash
MON_DIR=/opt/scripts
inotifywait -mqr --format %f -e create $MON_DIR | \
while read files; do
# 实时同步
rsync -avz /opt/scripts /tmp/
# 发送邮件通知
echo "`date +'%F_%T '`$files" | mail -s "inotifywait" [email protected]
done
脚本运行测试:
1.bash 18.sh
2.再开一个终端,去/opt/scripts/文件下创建文件
touch test.txt
3.检查邮箱
这里如果采用邮箱通知需要先做好配置 可以查看文章使用Mailx发送邮件 - FouroFour - 博客园 (cnblogs.com)
标签:脚本,文件,inotifywait,shell,format,--,监控,告警 From: https://www.cnblogs.com/xuxuxuxuxu/p/17575927.html