Контролировать файловые операции

Question 1

Вы не можете увидеть историю файловых операций, если вы не отслеживали и не регистрировали их. Есть несколько способов сделать это, например, системный вызов ptrace() или утилита командной строки strace, или, возможно, дажеDTrace, но если вы не регистрировали действия, то для работы вам будут доступны только временные метки файлов.

Answer

Вы не можете увидеть историю файловых операций, если вы не отслеживали и не регистрировали их. Есть несколько способов сделать это, например, системный вызов ptrace() или утилита командной строки strace, или, возможно, дажеDTrace, но если вы не регистрировали действия, то для работы вам будут доступны только временные метки файлов.

Question 2

По умолчанию такая информация не регистрируется (это было бы слишком много информации)!

Если вы хотите увидеть, что делает определенный процесс, запустите его подstrace(это утилита Linux, другие варианты Unix имеют похожие утилиты, такие какtruss, dtrace, и т.д.). По умолчанию straceрегистрирует все системные вызовы. Вы можете контролировать, какой тип информации straceотображается; например, опция -efileограничивает регистрацию системными вызовами, которые обращаются к файлам.

strace -o myprogram.log -efile myprogram --option

Если вы хотите регистрировать доступы ко всем файлам в определенной иерархии, вы можете использоватьLoggedFS. ВидетьМожно ли узнать, какая программа или скрипт создал данный файл?для примера использования. Не регистрируйте каталог, в который записываются логи!

Более распространенный механизм ведения журнала — это Linux.подсистема аудита. Он работает как root. СмотретьМожно ли узнать, какая программа или скрипт создал данный файл?для инструкций по настройке и примера использования. Не регистрируйте каталог, в который записываются логи!

Answer

По умолчанию такая информация не регистрируется (это было бы слишком много информации)!

Если вы хотите увидеть, что делает определенный процесс, запустите его подstrace(это утилита Linux, другие варианты Unix имеют похожие утилиты, такие какtruss, dtrace, и т.д.). По умолчанию straceрегистрирует все системные вызовы. Вы можете контролировать, какой тип информации straceотображается; например, опция -efileограничивает регистрацию системными вызовами, которые обращаются к файлам.

strace -o myprogram.log -efile myprogram --option

Если вы хотите регистрировать доступы ко всем файлам в определенной иерархии, вы можете использоватьLoggedFS. ВидетьМожно ли узнать, какая программа или скрипт создал данный файл?для примера использования. Не регистрируйте каталог, в который записываются логи!

Более распространенный механизм ведения журнала — это Linux.подсистема аудита. Он работает как root. СмотретьМожно ли узнать, какая программа или скрипт создал данный файл?для инструкций по настройке и примера использования. Не регистрируйте каталог, в который записываются логи!

Контролировать файловые операции

решение1

решение2

Связанный контент