検索: バックアップを誰が書くか

直接調べることはできません。あなたが持っている唯一の情報は所有者およびファイルのタイムスタンプ。

所有者

問題のファイルは が所有しているためroot、得られる情報はほとんどありません。

タイムスタンプ - mongodb

ご覧のとおり、mongodbバックアップは基本的にすべて同時に実行されます (午前 4 時 15 分)。これと、作成時間が夜間 (サービスにほとんど負荷がかからない可能性が高い時間帯) であるという事実から、バックアップがプロセスによってトリガーされる可能性が非常に高くなりますcron。したがって、cron 構成を確認する必要があります。

• /etc/crontab（通常はシステムによって制御されるため、可能性は低いです）
• /etc/cron.daily/（設定によってはそうかもしれません。私のDebian/jessieシステムでは、cron.毎日によると、ジョブは午前6時25分に実行されるため/etc/crontag、可能性は低いです）
• /etc/cron.d/（最も可能性が高い）
• の根- ユーザーのcrontabファイル（例：ただし、次のように/var/spool/cron/crontabs/root実行することでアクセスするのが最善ですcrontab -l根またはsudo crontab -l -u root。）

タイムスタンプ - mysql

このhistory.sqlファイルは比較的最近のもの（9月19日）であり、かなり早い時期に作成されています（7:07）。cronジョブによって作成された可能性もあります（上記を参照）。

はhistory_2013-08-26.sql.bz2作成されました8月30日 21:02; 午後9時はシステム管理者が何らかの作業を行うと予想される時間であり、タイムスタンプ（8月30日）とファイル名（8月26日）の間に矛盾があることを考慮すると、このファイルは作成されたと想定します。手動で。

誰がファイルを書き込んだかを知る方法はいくつかありますが、通常は事前に監視を設定する必要があります。

すべてのファイルはほぼ同時に作成されたため、その時間帯に実行される毎日の cron ジョブを探します。これにより、答えが得られる可能性が高くなります。

あなたが持っている場合BSDプロセスアカウンティング有効になっている場合は、lastcommファイルを書き込んだ時点で実行されていたプロセスを確認するために実行します。プロセス アカウンティングではプロセスの開始時刻のみが記録され、終了時刻は記録されないため、これは困難な場合があります。

次にファイルが作成されたときに誰が責任者であるかを知る方法はいくつかあります。1つの方法は、監査サブシステム:

auditctl -A exit,always -F path=/opt/BACKUP/mongodb.tgz -S open -S rename

もう一つの可能​​性は通知たとえば、インクロン仕事：

/opt/BACKUP/mongodb.tgz IN_MOVED_TO,IN_CREATE logger $% $@/$#