我需要了解文件的完整历史记录,例如自创建文件以来是否有人更改或将其移动到其他位置。
答案1
一般来说,你不能。保证存储的元数据始终是最新版本的元数据,任何其他元数据都可以随时被覆盖。
如果您的环境可能存在敌意,请考虑使用内核审计子系统审计并记录rename()和write()系统调用。然而,这相当笨重,因为您将记录大量您可能不关心的数据。如果您愿意,您还可以将审核限制为您关心的文件子集。
如果这主要是为了修订,请考虑使用版本控制系统,例如 Git。这使得用户能够随时间有效地监视文件状态,并且比通过审核日志向后导航更加用户友好。它可以完成您要求的所有事情,甚至更多。