Audit

記錄程序訪問的每個文件

  • July 7, 2017

我希望能夠在 Linux 機器上執行一個程序並記錄它在特定時間視窗內打開、讀取或寫入的每個文件。

例如,假設我懷疑 Apache 出於某種原因使用了不正確的文件。如何執行觸發文件打開/讀取的請求,然後獲取 Apache 程序打開的每個文件的列表以進行調試?

Strace 是我想到的一種方式。

這個答案更詳細地討論了它:

strace 可以顯示讀/寫系統呼叫的文件名/路徑嗎

Auditd 就是為此目的而建構的。您可以創建簡單的規則來按 uid、gid(大於或小於 uid/gid)、目錄、文件系統等記錄特定形式的訪問。

引用自:https://serverfault.com/questions/859954