Meine Datenbank kann nicht repliziert werden und der einzige Hinweis im Fehlerprotokoll ist Operation Not Permitted, dass es sich vermutlich um einen Fehler bei der Dateizugriffsberechtigung entweder beim Donar oder Joiner handelt. Gibt es eine Datei, mit der ich tailnachsehen kann, welche Dateien der Benutzer/Prozess genau zu lesen/schreiben/auszuführen versucht?
Antwort1
Der auditd(8)Daemon stellt die in Ihrer Frage angeforderte Funktionalität bereit. Er wird in der /etc/audit/auditd.confDatei konfiguriert und seine Syntax wird auf der auditd.conf(5)Manualpage beschrieben.
Sie müssen den Daemon installieren und aktivieren und ihn so konfigurieren, /etc/audit/audit.rulesdass er die Ereignisse überwacht, die Sie für relevant halten. Und ein Beispiel aus der audit.rules(7)Manpage:
-a always,exit -F arch=b32 -S open -S openat -F exit=-EACCES -k access
-a always,exit -F arch=b32 -S open -S openat -F exit=-EPERM -k access
-a always,exit -F arch=b64 -S open -S openat -F exit=-EACCES -k access
-a always,exit -F arch=b64 -S open -S openat -F exit=-EPERM -k access
auditctl(8)Eine Erklärung aller in den Beispielen verwendeten Optionen finden Sie auf der Manpage.
Für die spätere Analyse/Berichterstattung können Sie die Tools ausearch(8)und verwenden aureport(8).