ふと、CentOSなどでよく使用したり操作したりするファイルを調べたいなぁと思ったのだが、残念ながらそういった情報はデフォルトでは保持しておらず、ログにも記録してくれない。 だからといって、inotify-waitなどでログを取るのもちょっとなぁ…と考えていたところ、auditdでファイルやフォルダを指定してやることで、対象のファイルへのアクセスや操作を監査する事ができるようだ。
とりあえず、以下のコマンドを実行することで、指定したフォルダ配下での操作をログに出力できる。
auditctl -w /etc/ -p war -k etcdir