特定のディレクトリへのアクセス制限監視
機密データが格納されているディレクトリに対する読み取り(r)アクセスをすべて記録します。
実行コマンド
sudo auditctl -w /var/www/secret_data -p r -k sensitive_access💡 利用シーン
どのユーザーやプロセスが機密データにアクセスしたか、不正なデータ抽出が行われていないか確認したい場合。
💻 実行結果例
type=PATH msg=audit(1698334500.999:457): item=0 name="/var/www/secret_data/conf.txt" inode=789📝 実務メモ
特定のファイルだけでなく、ディレクトリ単位での監視も可能です。
⚠️ 注意点
読み取りアクセスを監視するとログが急増しやすいため、監査期間を絞るか注意が必要です。