중요한 파일에 대한 파일 액세스를 실시간으로 모니터

다음 단계를 사용하여 중요한 파일에 대한 파일 액세스를 실시간으로 모니터할 수 있습니다.

다음 단계를 수행하십시오.

변경 사항을 모니터링할 중요 파일 목록(예: ' /etc '의 모든 파일)을 설정하고 ' objects ' 파일에서 FILE_Write 이벤트에 대해 구성합니다:
```
find /etc -type f | awk '{printf("%s:\n\tw = FILE_Write\n\n",$1)}' >> /etc/security/audit/objects
```
모든 파일 쓰기를 나열하도록 스트림 감사를 설정하십시오. (이 예제에서는 모든 파일 쓰기를 콘솔에 나열하지만 프로덕션 환경에서는 백엔드에서 이벤트를 침입 감지 시스템에 전송하도록 할 수 있습니다.) ' /etc/security/audit/streamcmds ' 파일은 다음과 유사합니다:
```
/usr/sbin/auditstream | /usr/sbin/auditselect -e "event == FILE_Write" |
auditpr  -hhelpPRtTc -v > /dev/console &
```
' /etc/security/audit/config'에서 스트림 모드 감사를 설정하고 파일 쓰기 이벤트에 대한 클래스를 추가한 후 해당 클래스로 감사해야 하는 모든 사용자를 구성합니다:
```
start:
        binmode = off
        streammode = on

stream:
        cmds = /etc/security/audit/streamcmds

classes:
        filemon = FILE_write

users:
        root = filemon
        afx = filemon
        ...
```
이제 ' audit start 를 실행합니다. 모든 FILE_Write 이벤트가 콘솔에 표시됩니다.