Аудит файловой системы Linux?

Question

[D1abloRUS]

Привет!

Может кто подскажет, хорошую систему для мониторинга за файловой системой? Даже проще, мне нужно следить за 1 папкой, знать какой пользователь, открыл/удалил/создал что либо.

Нужно для sftp.

Включал в sftp логирование, все отлично, но не показывает какой пользователь, что сделал. Пробовал делать через audit очень много левой информации, через inotify нет информации о пользователе.

Другие ftp сервера не предлогать, жесткое условие.

Answer 1

[Эргил Осин]

iwatch для слежения за директорией, слежение за логом авторизации пользователей и письма о том, кто в какое время заходил для того что бы сопоставить.
вот если пользователь один и у него куча ключей сложней, сам пока для второй ситуации решения не придумал, хотя вопрос стоит.

Comments

[D1abloRUS]

Гугл мне сначала ремешок для йпод выдал :) Ну тоже не полохо…
А так, вроде как раз то, что нужно! Завтра обязательно попробую!
Спасибо!

[Эргил Осин]

Не за что, конфиг у него простой, без меня справитесь, а так если что обращайтесь. Будем вместе решать то для чего iwatch не хватит.

[D1abloRUS]

Давайте я Вас сразу спрошу, не утерпел до завтра уже поставил.

root@bla:/share# iwatch -r /share
[21/Feb/2013 22:30:05] IN_CREATE /share/all/test1
[21/Feb/2013 22:30:05] IN_CLOSE_WRITE /share/all/test1
[21/Feb/2013 22:30:05] * /share/all/test1 is closed
[21/Feb/2013 22:30:36] IN_CLOSE_WRITE /share/all/test2
[21/Feb/2013 22:30:36] * /share/all/test2 is closed
Неподскажите как к данному действу имя пользюка дописать? Чтобы знать кто файл трогал

Answer 2

[Андрей Буров]

inotify

Comments

[D1abloRUS]

Действия есть, а кто эти действия выполняет нет  :(

Answer 3

[Константин]

Вопрос на самом деле очень актуальный. inotifywatch/inotifywait не подходит, так как не мониторит КТО изменил или удалил файл.
Я особо не в курсе, но git - немного не то?