linux – 查看上次触摸文件的进程
发布时间:2020-12-14 02:23:22 所属栏目:Linux 来源:网络整理
导读:在 Linux机器上,有一些进程定期更改目录和文件的权限,大致每天.这不是我设置的过程,我不知道它是什么. 我有root访问权限,我可以轻松地手动更改权限以获取访问权限,但这有点烦人. 有没有办法查看最后触及文件的进程列表?或者我如何在文件上记录进程活动. 解
|
在
Linux机器上,有一些进程定期更改目录和文件的权限,大致每天.这不是我设置的过程,我不知道它是什么.
我有root访问权限,我可以轻松地手动更改权限以获取访问权限,但这有点烦人. 有没有办法查看最后触及文件的进程列表?或者我如何在文件上记录进程活动. 解决方法
在Fedora系统上,您可以使用:
sudo auditctl -p a -w /some/file # monitor attribute changes to /some/file 它在审计包中,如果你没有安装,那么sudo yum install audit 输出以下列形式进入/var/log/audit/audit.log: type=SYSCALL msg=audit(1325185116.524:1133): arch=c000003e syscall=2 success=yes exit=3 a0=671600 a1=241 a2=1b6 a3=9 items=1 ppid=26641 pid=26643 auid=501 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 ses=1 comm="jmacs" exe="/usr/bin/joe" subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key=(null) type=CWD msg=audit(1325185116.524:1133): cwd="/tmp" type=PATH msg=audit(1325185116.524:1133): item=0 name="/etc/passwd" inode=531545 dev=fd:01 mode=0100644 ouid=0 ogid=0 rdev=00:00 obj=system_u:object_r:etc_t:s0 它有点密集,但请注意msg = audit(###)字符串在多行中排成一行. >现在我实际上第一次阅读了联机帮助页,我看到一些关于使用-Farch = b32 / -Farch = b64的注意事项,所以看起来有一些关于32位vs-64位系统调用的可能怪异,所以如果你没有得到审计,那可能就是原因.我以前从来没有真正看过这个,但是自从Athlon时代以来我没有真正运行任何32位进程,所以我不能很好地说出来. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |