Linux有沒有辦法找到在電腦啟動和工作期間存取過的檔案(讀,寫,無關緊要)?或者甚至在一段時間內根本沒有訪問過更好的文件?我知道有一個find / -atime +60(例如超過 60 天的文件)命令,但問題是在這個系統中,文件的 atime 屬性修改被禁用,因為它是從閃存卡工作的。所以我需要其他方法來尋找這些文件。
答案1
對於啟動期間訪問的文件,我將從烏拉達赫德:
$ sudo ureadahead --dump | grep /
/var/lib/ureadahead/pack它轉儲分析啟動文件存取儲存位置的內容。
否則,有很多方法可以監視文件存取:
- inotify 工具, 看監控Linux上的檔案和目錄訪問
- 記錄檔案系統,但在啟動時設定可能會很棘手。
- 法特拉斯,報告系統範圍的文件存取事件。
- 審計控制也許也是如此。
引導圖可能有助於可視化啟動過程中發生的情況。