Audit
記錄程序訪問的每個文件
我希望能夠在 Linux 機器上執行一個程序並記錄它在特定時間視窗內打開、讀取或寫入的每個文件。
例如,假設我懷疑 Apache 出於某種原因使用了不正確的文件。如何執行觸發文件打開/讀取的請求,然後獲取 Apache 程序打開的每個文件的列表以進行調試?
Strace 是我想到的一種方式。
這個答案更詳細地討論了它:
Auditd 就是為此目的而建構的。您可以創建簡單的規則來按 uid、gid(大於或小於 uid/gid)、目錄、文件系統等記錄特定形式的訪問。