我想了解过去一小时在我的系统上执行了哪些文件操作(失败和成功)。有没有办法做到这一点?
答案1
除非您监视并记录了文件操作的历史记录,否则您无法查看它们。有一些方法可以做到这一点,例如 ptrace() 系统调用或 strace 命令行实用程序,甚至可能DTrace,但如果您没有记录操作,则只能使用文件时间戳。
答案2
默认情况下不记录此类信息(这将是很多信息)!
如果您想查看特定进程正在做什么,请在下面运行它strace(这是 Linux 实用程序,其他 Unix 变体也有类似的实用程序,例如truss,dtrace, ETC。)。默认情况下strace记录所有系统调用。您可以控制显示什么样的信息strace;例如,该选项-efile将日志记录限制为访问文件的系统调用。
strace -o myprogram.log -efile myprogram --option
如果您想记录对特定层次结构中所有文件的访问,您可以使用日志文件系统。看是否可以找出哪个程序或脚本创建了给定文件?获取使用示例。不要记录正在写入日志的目录!
Linux 是一种更普遍的日志记录机制审计子系统。它以 root 身份运行。看是否可以找出哪个程序或脚本创建了给定文件?有关配置说明和使用示例。不要记录正在写入日志的目录!