¿Cómo se puede encontrar quién o qué (servicio) eliminó un archivo o carpeta en particular en Solaris?

Question 1

Este pequeño script Dtrace registrará fácilmente cada eliminación de archivos en el sistema:

dtrace -qn 'syscall::unlink*:entry { printf("%d, %s, %s\n", uid, execname, copyinstr(arg0));}
syscall::fsat:entry  /arg0 == 5 / { printf("%d, %s, %s\n", uid, execname, copyinstr(arg2));}'

Answer

Este pequeño script Dtrace registrará fácilmente cada eliminación de archivos en el sistema:

dtrace -qn 'syscall::unlink*:entry { printf("%d, %s, %s\n", uid, execname, copyinstr(arg0));}
syscall::fsat:entry  /arg0 == 5 / { printf("%d, %s, %s\n", uid, execname, copyinstr(arg2));}'

Question 2

AFAIK, no existe una solución "lista para usar", pero puede usar un observador de archivos controlado por eventos para los eventos del sistema de archivos (en el directorio en el que se encuentra) y luego buscar los programas infractores que coincidan con el identificador.

Si necesita una aplicación de este tipo, puede que valga la pena preguntar en StackOverflow, ya que no puede ser el único que la necesita.

Answer

AFAIK, no existe una solución "lista para usar", pero puede usar un observador de archivos controlado por eventos para los eventos del sistema de archivos (en el directorio en el que se encuentra) y luego buscar los programas infractores que coincidan con el identificador.

Si necesita una aplicación de este tipo, puede que valga la pena preguntar en StackOverflow, ya que no puede ser el único que la necesita.

¿Cómo se puede encontrar quién o qué (servicio) eliminó un archivo o carpeta en particular en Solaris?

Respuesta1

Respuesta2

información relacionada