linux – 查看上次触摸文件的进程

前端之家收集整理的这篇文章主要介绍了linux – 查看上次触摸文件的进程前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
Linux机器上,有一些进程定期更改目录和文件的权限,大致每天.这不是我设置的过程,我不知道它是什么.

我有root访问权限,我可以轻松地手动更改权限以获取访问权限,但这有点烦人.

有没有办法查看最后触及文件的进程列表?或者我如何在文件上记录进程活动.

解决方法

在Fedora系统上,您可以使用:
sudo auditctl -p a -w /some/file  # monitor attribute changes to /some/file

它在审计包中,如果你没有安装,那么sudo yum install audit

输出以下列形式进入/var/log/audit/audit.log:

type=SYSCALL msg=audit(1325185116.524:1133): arch=c000003e syscall=2 success=yes exit=3 a0=671600 a1=241 a2=1b6 a3=9 items=1 ppid=26641 pid=26643 auid=501 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 ses=1 comm="jmacs" exe="/usr/bin/joe" subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key=(null)
  type=CWD msg=audit(1325185116.524:1133):  cwd="/tmp"
  type=PATH msg=audit(1325185116.524:1133): item=0 name="/etc/passwd" inode=531545 dev=fd:01 mode=0100644 ouid=0 ogid=0 rdev=00:00 obj=system_u:object_r:etc_t:s0

它有点密集,但请注意msg = audit(###)字符串在多行中排成一行.

>现在我实际上第一次阅读了联机帮助页,我看到一些关于使用-Farch = b32 / -Farch = b64的注意事项,所以看起来有一些关于32位vs-64位系统调用的可能怪异,所以如果你没有得到审计,那可能就是原因.我以前从来没有真正看过这个,但是自从Athlon时代以来我没有真正运行任何32位进程,所以我不能很好地说出来.

猜你在找的Linux相关文章