你可以是系统审计功能对监控的文件进行审计。

安装: apt-get install auditd / yum install -y auditd

1.auditd 是后台守护进程，负责监控记录

2.auditctl 配置规则的⼯具

3.auditsearch 搜索查看

4.aureport 根据监控记录⽣成报表

⽐如，监控 /root/rocketmq-4.9.6/rocketmq-all-4.9.7-bin-release/conf/2m-2s-async/broker-a.properties  ⽂件是否被修改过：

auditctl -w /root/rocketmq-4.9.6/rocketmq-all-4.9.7-bin-release/conf/2m-2s-async/broker-a.properties -p war -k quanyi

•-w 指明要监控的⽂件

•-p awrx 要监控的操作类型，append, write, read, execute

•-k 给当前这条监控规则起个名字，⽅便搜索过滤

查看修改纪录：ausearch -i -k auth_key，⽣成报表 aureport.

删除指定规则

sudo auditctl -D -w /root/rocketmq-4.9.6/rocketmq-all-4.9.7-bin-release/conf/2m-2s-async/broker-a.properties -p war