在 Linux 上是否可以找出过去 24 小时内哪些应用程序访问了某个文件?
我想到了一些可能的解决方案:
- 监视
lsof。它可以工作,但是受限于监视的粒度。 inotify听起来不错......但没有提供访问该文件的应用程序的信息。auditd可能有用,但我还没有检查过。
我可以通过哪些方式查看哪些应用程序在给定的时间段内访问了某个文件?
答案1
auditd才是解决这一问题的方法。以下是关于如何完成文件监控的快速教程。不过,您必须事先设置对文件的监视。
如何查看 Linux 上哪些应用程序在给定时间段内访问了某个文件?