我使用auditd来定义一些我想要审计的事件,例如
./auditctl -w /some/local/folder -p wa -k MyRule
,例如,我在文件夹中创建一个文件,结果是
2018-08-30 15:30:34.160 24217-24217/?W/sh: type=1300 audit(0.0:60421): arch=c00000b7 syscall=56 success=yes exit=3 a0=ffffff9c a1=71a6e2aa88 a2=241 a3=1b6 items=2 ppid=23092 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts1 ses=4294967295 exe="/system/bin/sh"主题= u r:苏:s0关键="MyRule"
我正在寻找方法来获得有关这些事件的通知,最好是编程。
我在一个自定义的AOSP上运行,在那个仓库中,但我可以尝试"常规"。Linux的解决方案也是如此(因为这些可能会被输送到可以在android上工作的东西中)。
可以使用cron周期性地调用auserach,指定一个开始和结束时间(--start,--end),然后做任何你想要发送通知的事情,也许是触发意图。