Jan*_*nen 21
使用内核audit子系统
auditctl -w /some/dir/ -p war -k whatsgoingon
这会设置一个钩子,等待 /some/dir/ 下发生的事情。
然后确保你有auditd守护进程运行。之后,只需等到文件出现并查看/var/log/auditd.log它在系统中的任何位置写入和读取发生的事情以及通过什么过程。
wee*_*avy 20
试试lsof +r2 | grep '/some/dir'。这将显示访问/some/dir 的进程并每 2 秒刷新一次。
| 归档时间: |
|
| 查看次数: |
31951 次 |
| 最近记录: |