Quero descobrir quais operações de arquivo (com falha e bem-sucedidas) foram executadas na última hora em meu sistema. Existe uma maneira de fazer isso?
Responder1
Você não pode ver um histórico de operações de arquivo, a menos que as tenha monitorado e registrado. Existem algumas maneiras de fazer isso, como a chamada de sistema ptrace() ou o utilitário de linha de comando strace, ou talvez atéDTrace, mas se você não registrou as ações, terá apenas os carimbos de data/hora do arquivo para trabalhar.
Responder2
Este tipo de informação não é registrada por padrão (isso seria muita informação)!
Se você quiser ver o que um processo específico está fazendo, execute-o emstrace(esse é o utilitário Linux, outras variantes do Unix têm utilitários semelhantes, comotruss, dtrace, etc.). Por padrão, straceregistra todas as chamadas do sistema. Você pode controlar que tipo de informação straceé exibida; por exemplo, a opção -efilerestringe o registro às chamadas do sistema que acessam arquivos.
strace -o myprogram.log -efile myprogram --option
Se quiser registrar acessos a todos os arquivos em uma hierarquia específica, você pode usarRegistradoFS. VerÉ possível descobrir qual programa ou script criou um determinado arquivo?para um exemplo de uso. Não registre o diretório onde os logs estão sendo gravados!
Um mecanismo de registro mais difundido é o do Linuxsubsistema de auditoria. Ele roda como root. VerÉ possível descobrir qual programa ou script criou um determinado arquivo?para obter instruções de configuração e um exemplo de uso. Não registre o diretório onde os logs estão sendo gravados!