系统是Centos8
我需要确定哪个进程正在touch读取文件,但不对内容进行任何更改。我试过了auditctl,但似乎没有可以跟踪这些属性的文件系统监视。
sudo auditctl -w /boot/grub2/grubenv -p a -k GRUBENV
但这并不能捕获时间戳的变化。
有没有办法记录文件修改/更改时间戳的更改,而不会改变文件的任何其他内容?
答案1
时间戳更改更像是写入操作。因此命令应如下所示:
sudo auditctl -w /boot/grub2/grubenv -p wa -k GRUBENV