¿Hay alguna forma en Linux de encontrar archivos a los que se accedió (leer, escribir, no importa) durante el inicio y el trabajo de la computadora? ¿O incluso mejores archivos a los que NO se accedió en absoluto durante algún tiempo? Sé que hay un find / -atime +60comando (por ejemplo, para archivos de más de 60 días), pero el problema es que en este sistema la modificación del atributo atime para archivos está deshabilitada ya que funciona desde una tarjeta flash. Entonces necesito alguna otra forma de encontrar esos archivos.
Respuesta1
Para los archivos a los que se accede durante el arranque, comenzaría conureadahead:
$ sudo ureadahead --dump | grep /
que vuelca el contenido /var/lib/ureadahead/packdonde se almacenan los accesos al archivo de arranque perfilado.
De lo contrario, hay muchas formas de monitorear el acceso a archivos:
- herramientas-inotify, vermonitorear el acceso a archivos y directorios en Linux
- registradofs, pero puede resultar complicado de configurar en el momento del arranque.
- fatrace, informa eventos de acceso a archivos en todo el sistema.
- auditoríactlprobablemente también.
diagrama de arranquePuede ser útil visualizar lo que sucede durante el arranque.