我需要通过 creatbyproc.d 监视从未知应用程序到已知目录的写入。我将不得不让它启动并运行长达 36 小时,如果没有任何过滤器而不填满整个 HDD,这是不可能的。
这些日志很快就会变得非常大,我需要一种方法来只记录特定信息。
目前我的命令是:
sudo creatbyproc.d > /Users/MyUser/output.txt
一个好的答案是按文件夹过滤: /private/tmp/
一个很好的答案将允许通配符过滤: /private/tmp/*.txt