我想知道哪个用户尝试访问特定文件并因此收到权限被拒绝错误。在 Ubuntu 中有什么方法可以做到这一点吗?
答案1
不是。文件出现简单的故障open是与进程相关的问题,而不是系统问题。open只有尝试访问该文件的进程才知道open发生故障。
由于“权限被拒绝”是有效的返回状态,并且经常发生,因此不会被记录。
答案2
我相信您可以配置规则来执行您使用 auditd(auditctl) 要求的操作。
除此之外,我无法提供任何帮助,因为我唯一的经验是当它因过多的日志记录而导致我的机器崩溃时将其关闭。但他们似乎已经解决了这个问题(至少在当时):https://unix.stackexchange.com/questions/220250/using-auditd-to-capture-permission-denied-notices