如何在短时间内监控并列出服务器范围内修改的文件？

Question 1

sysdig事实证明这正是我一直在寻找的解决方案。

磁盘 I/O

查看磁盘带宽使用率最高的进程

sysdig -c topprocs_file
列出使用大量文件的进程

sysdig -c fdcount_by proc.name "fd.type=file"
查看读取+写入字节数最多的文件

sysdig -c 顶部文件字节数
打印 apache 读取或写入的顶级文件

sysdig -c topfiles_bytes proc.name=httpd
基本 opensnoop：监听文件在发生时打开

sysdig -p "%12user.name %6proc.pid %12proc.name %3fd.num %fd.typechar %fd.name" evt.type=open
查看 R+W 磁盘活动的顶级目录

sysdig -c fdbytes_by fd.directory “fd.type=文件”
查看 /tmp 目录中 R+W 磁盘活动的顶级文件

sysdig -c fdbytes_by fd.filename "fd.directory=/tmp/"
观察所有名为“passwd”的文件的 I/O 活动

sysdig -A -c echo_fds “fd.filename=passwd”
按 FD 类型显示 I/O 活动

sysdig -c fdbytes_by fd.类型

Answer

sysdig事实证明这正是我一直在寻找的解决方案。

查看磁盘带宽使用率最高的进程

sysdig -c topprocs_file
列出使用大量文件的进程

sysdig -c fdcount_by proc.name "fd.type=file"
查看读取+写入字节数最多的文件

sysdig -c 顶部文件字节数
打印 apache 读取或写入的顶级文件

sysdig -c topfiles_bytes proc.name=httpd
基本 opensnoop：监听文件在发生时打开

sysdig -p "%12user.name %6proc.pid %12proc.name %3fd.num %fd.typechar %fd.name" evt.type=open
查看 R+W 磁盘活动的顶级目录

sysdig -c fdbytes_by fd.directory “fd.type=文件”
查看 /tmp 目录中 R+W 磁盘活动的顶级文件

sysdig -c fdbytes_by fd.filename "fd.directory=/tmp/"
观察所有名为“passwd”的文件的 I/O 活动

sysdig -A -c echo_fds “fd.filename=passwd”
按 FD 类型显示 I/O 活动

sysdig -c fdbytes_by fd.类型

Question 2

您可以查看iontify 工具。

Answer

您可以查看iontify 工具。