记录进程访问的每个文件

记录进程访问的每个文件

我希望能够执行 Linux 机器上的一个进程并记录它在特定时间窗口内打开、读取或写入的每个文件。

例如,假设我怀疑 Apache 出于某种原因使用了不正确的文件。我该如何运行触发文件打开/读取的请求,然后获取 Apache 进程打开的每个文件的列表以进行调试?

答案1

我想到的一个方法是 Strace。

这个答案对此进行了更详细的讨论:

strace 能否显示读/写系统调用的文件名/路径

答案2

Auditd 就是为此目的而构建的。您可以创建简单的规则来记录按 uid、gid、(大于或小于 uid/gid)、目录、文件系统等进行的特定形式的访问。

相关内容