以前に何らかの監査を有効にしていない場合、ファイルが変更された後にこれを報告できるツールはありません。ファイルが最後に変更された日時は取得できますが、改訂履歴は取得できません。
先に進むと、auditd をインストール、セットアップ、有効化できます パッケージ。
auditctl から マニュアルページ:
-w path
Insert a watch for the file system object at path. You cannot insert
a watch to the top level directory. This is prohibited by the kernel.
Wildcards are not supported either and will generate a warning. The way
that watches work is by tracking the inode internally. If you place a
watch on a file, its the same as using the -F path option on a
syscall rule. If you place a watch on a directory, its the same as using
the -F dir option on a syscall rule. The -w form of writing watches
is for backwards compatibility and the syscall based form is more
expressive. Unlike most syscall auditing rules, watches do not impact
performance based on the number of rules sent to the kernel. The only
valid options when using a watch are the -p and -k. If you need to
anything fancy like audit a specific user accessing a file, then use
the syscall auditing form with the path or dir fields.
これについては、隠しファイルの作成をログに記録するという質問でさらに議論があります
ここでは、inotify をハッキングして PID と UID を提供する方法について説明します。http://www.ioremap.net/node/55
Audithttp://andries.filmer.nl/kb/Monitoring-file-system-events-with-inotify,-incron-and-authctl/129#Audit も参照してください