monitor de qual processo modificou um arquivo no FreeBSD / Linux
Pergunta
De tempos em tempos, um arquivo que eu estou interessado é modificado por algum processo. Eu preciso descobrir qual processo está modificando esse arquivo. Usando lsof não vai funcionar, nem kqueue. Isso é possível no FreeBSD e Linux?
Solução
No Linux, há um patch para o kernel flutuante em torno de inotify . No entanto, alguns têm dito isso raramente é útil e que pode ser um risco de segurança. Em todo caso, aqui está a remendo .
Além disso, eu não estou certo que há alguma maneira de obter o PID, seja com inotify ou dnotify . Você poderia investigar mais (por exemplo, procurar pid dnotify ou pid inotify ), mas eu acredito que não é provável.
Outras dicas
No FreeBSD, talvez ela deve ser melhor seleção se sua auditoria apresenta .
O Linux tem uma auditoria daemon http://www.cyberciti.biz/tips/linux-audit-files-to-see-who-made-changes-to-a-file.html
Veja também auditd homepage
Você pode ver que os processos abriu um arquivo apenas como instalar e usar lsof comando (lista aberta Files).