GNU/Linux >> Tutoriales Linux >  >> Linux

Encuentra qué proceso está modificando un archivo

Puede usar auditd y agregar una regla para que ese archivo sea observado:

auditctl -w /path/to/that/file -p wa

Luego observe las entradas que se escribirán en /var/log/audit/audit.log .


SystemTap puede hacer esto usando el script inodewatch .


en caso de que el/los programa(s) que está buscando todavía tengan el archivo abierto, puede usar lo siguiente:

 sudo lsof /path/to/file/being/modified

también podría llamar a esto en un pequeño bucle, demandando el siguiente script getfileusers.sh :

 #!/bin/sh

 FILE=$1

 while true; do
    lsof "${FILE}"
 done > /tmp/fileusers.log

y luego llamarlo:

 sudo ./getfileusers.sh /path/to/file/being/modified

y eventualmente inspeccionar /tmp/fileusers.log para ver quién tocó el archivo...


Linux

  1. ¿Cómo determinar qué proceso está creando un archivo?

  2. ¿Qué proceso tiene Pid 0?

  3. ¿Es posible encontrar qué Vim/tmux tiene el archivo abierto?

  4. Comandos de acceso a archivos en Linux:buscar, ordenar, encabezado, cola

  5. ¿Qué es un proceso ininterrumpido?

3 formas de averiguar qué proceso está escuchando en un puerto en particular

Rotación de archivos de registro

¿Buscar el archivo de registro de Firefox?

¿Cómo encontrar el proceso con el máximo de descriptores de archivo?

Linux:averigüe en qué número de puerto está escuchando un proceso

Cómo encontrar el archivo .pid para un proceso dado