inotify 一問 - Linux
By Freda
at 2013-04-09T12:25
at 2013-04-09T12:25
Table of Contents
謝謝!
用 audit 已經可以找出該 pid 做了什麼事。
但是仍有一點問題,麻煩版上的強者幫我解惑。 <(_ _)>
1. 假設我現在有一隻程式叫 /somewhere/temp.sh, 只做兩件事
touch /path/to/test.txt
rm -f /path/to/test.txt
2. 用了 auditctl -w /path/to/ 去 monitor 這個路徑的改變
3. 執行 /somewhere/temp.sh
4. 用 ausearch -i -f /path/to,的確可以觀察到有一個 pid (假設叫4567),執行了
touch 和 rm的動作。
我的問題是,由於4567這個process在執行完畢就釋放掉了。
在沒有額外從script內記錄下自己的pid的情形下,是否有辨法從
「pid = 4567 去推導 /home/somewhere.sh」這樣的故事呢?
非常感謝…!
※ 引述《Nt1 (用功點吧!)》之銘言:
inotify 是 linux 提供的api, 可以監控目錄/檔案的變更。
請問…是否有辨法進一步的監控到,是哪一隻 process 做出這樣的變更嗎?
不知道是真的沒辨法還是小弟沒注意到,help document看了一下沒特別提到
謝謝!
--
http://www.flickr.com/photos/mong0520/collections/
--
用 audit 已經可以找出該 pid 做了什麼事。
但是仍有一點問題,麻煩版上的強者幫我解惑。 <(_ _)>
1. 假設我現在有一隻程式叫 /somewhere/temp.sh, 只做兩件事
touch /path/to/test.txt
rm -f /path/to/test.txt
2. 用了 auditctl -w /path/to/ 去 monitor 這個路徑的改變
3. 執行 /somewhere/temp.sh
4. 用 ausearch -i -f /path/to,的確可以觀察到有一個 pid (假設叫4567),執行了
touch 和 rm的動作。
我的問題是,由於4567這個process在執行完畢就釋放掉了。
在沒有額外從script內記錄下自己的pid的情形下,是否有辨法從
「pid = 4567 去推導 /home/somewhere.sh」這樣的故事呢?
非常感謝…!
※ 引述《Nt1 (用功點吧!)》之銘言:
inotify 是 linux 提供的api, 可以監控目錄/檔案的變更。
請問…是否有辨法進一步的監控到,是哪一隻 process 做出這樣的變更嗎?
不知道是真的沒辨法還是小弟沒注意到,help document看了一下沒特別提到
謝謝!
--
http://www.flickr.com/photos/mong0520/collections/
--
Tags:
Linux
All Comments
By Ingrid
at 2013-04-10T13:33
at 2013-04-10T13:33
By Doris
at 2013-04-11T12:12
at 2013-04-11T12:12
By Jake
at 2013-04-13T07:46
at 2013-04-13T07:46
By Edward Lewis
at 2013-04-14T00:32
at 2013-04-14T00:32
By Zora
at 2013-04-15T00:03
at 2013-04-15T00:03
Related Posts
有人用wine成功執行台版LOL嗎?
By Hardy
at 2013-04-09T10:49
at 2013-04-09T10:49
第一次登入需變更密碼!!
By Faithe
at 2013-04-08T21:30
at 2013-04-08T21:30
inotify 一問
By Hedda
at 2013-04-08T18:12
at 2013-04-08T18:12
qperf無法安裝
By Jake
at 2013-04-08T17:07
at 2013-04-08T17:07
[KDE] 多人協同文字編輯
By Carolina Franco
at 2013-04-08T16:39
at 2013-04-08T16:39