Como descobrir quem ou o que (serviço) excluiu um arquivo ou pasta específico no Solaris?

Question 1

Este pequeno script Dtrace registrará facilmente cada exclusão de arquivo no sistema:

dtrace -qn 'syscall::unlink*:entry { printf("%d, %s, %s\n", uid, execname, copyinstr(arg0));}
syscall::fsat:entry  /arg0 == 5 / { printf("%d, %s, %s\n", uid, execname, copyinstr(arg2));}'

Answer

Este pequeno script Dtrace registrará facilmente cada exclusão de arquivo no sistema:

dtrace -qn 'syscall::unlink*:entry { printf("%d, %s, %s\n", uid, execname, copyinstr(arg0));}
syscall::fsat:entry  /arg0 == 5 / { printf("%d, %s, %s\n", uid, execname, copyinstr(arg2));}'

Question 2

AFAIK, não existe uma solução "pronta para uso", mas você pode usar um observador de arquivos orientado a eventos para eventos do sistema de arquivos (no diretório em que está) - em seguida, procure os programas incorretos que correspondem ao identificador.

Se você precisar de tal aplicativo, pode valer a pena perguntar no StackOverflow, pois você não pode ser o único com essa necessidade.

Answer

AFAIK, não existe uma solução "pronta para uso", mas você pode usar um observador de arquivos orientado a eventos para eventos do sistema de arquivos (no diretório em que está) - em seguida, procure os programas incorretos que correspondem ao identificador.

Se você precisar de tal aplicativo, pode valer a pena perguntar no StackOverflow, pois você não pode ser o único com essa necessidade.

Como descobrir quem ou o que (serviço) excluiu um arquivo ou pasta específico no Solaris?

Responder1

Responder2

informação relacionada