我的資料庫無法複製,錯誤日誌中的唯一線索是Operation Not Permitted,我猜測是捐贈者或加入者的檔案存取權限失敗。是否有任何檔案可以tail讓我查看用戶/進程正在嘗試讀取/寫入/執行的確切檔案?
答案1
該auditd(8)守護程式提供您在問題中請求的功能。它在文件中配置/etc/audit/auditd.conf,其語法在手冊頁中描述auditd.conf(5)。
您需要安裝並啟用守護程序,並配置/etc/audit/audit.rules以審核您認為相關的事件。線上說明頁中的範例audit.rules(7):
-a always,exit -F arch=b32 -S open -S openat -F exit=-EACCES -k access
-a always,exit -F arch=b32 -S open -S openat -F exit=-EPERM -k access
-a always,exit -F arch=b64 -S open -S openat -F exit=-EACCES -k access
-a always,exit -F arch=b64 -S open -S openat -F exit=-EPERM -k access
閱讀auditctl(8)線上說明頁以取得範例中使用的所有選項的說明。
對於以後的分析/報告,您可以使用ausearch(8)和aureport(8)工具。