找到乱建文件的家伙！

最近有一台服务器上的日志在切割之后新日志属主经常会变成root， 那么，监控是哪个家伙来改的吧！

使用auditd针对/data/logs/app/进行监控

auditctl -w /data/logs/app/ -p wxa -k php_app_change

第二天查看监控结果

ausearch -k php_app_change | less

用/搜索CREATE 有用内容如下：

time->Mon Mar 23 23:59:02 2015
type=PATH msg=audit(1427126342.023:1289345): item=1 name="/data/logs/app/http_access.log" inode=3418062 …