码迷,mamicode.com
首页 > 系统相关 > 详细

Linux下查看哪个进程对某文件进行了操作

时间:2017-04-23 22:27:03      阅读:361      评论:0      收藏:0      [点我收藏+]

标签:内容   后台   nbsp   了解   lin   art   sea   一段   linux   

由于工作需要,近日开发了一个server agent,其中有个功能是对/path/to/file文件进行写入

 

在程序部署完成后,/path/to/file文件中内容刚开始是符合预期的

 

但是过了不到一分钟,发现/path/to/file已与预期不符,走查代码后确认无误,怀疑是有其他后台进程对此文件进行了修改,所以要查到这个元凶巨恶

 

起初,尝试使用lsof命令,具体说来,清空/path/to/file文件内容,然后写一个无限循环调用lsof /path/to/file,运行后发现无任何效果,但/path/to/file依然被修改了!

这仿佛说明,某进程瞬间完成了对/path/to/file的打开、写、关闭操作,lsof命令作罢

 

后来求助于stack overflow发现了解决方法,就是auditctl

1、先启动auditctl后台监控服务:service auditd start

2、设置监控规则:auditctl -w /path/to/file -p w -k hosts-file 监控写操作

3、过一段时间,ausearch -w /path/to/file 即可看到哪个进程使对文件/path/to/file用了哪个操作

 

Linux下查看哪个进程对某文件进行了操作

标签:内容   后台   nbsp   了解   lin   art   sea   一段   linux   

原文地址:http://www.cnblogs.com/dwyanewade/p/6754191.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!