Я хочу иметь возможность запускать процесс на машине Linux и регистрировать каждый файл, который он открывает, читает или записывает в течение определенного временного окна.
Например, предположим, что я подозреваю, что Apache по какой-то причине использует неправильный файл. Как я мог запустить запрос, который запускает открытие / чтение файла, а затем получить список всех файлов, открытых процессом Apache, для его отладки?
Strace - это один из способов, который приходит на ум.
Этот ответ обсуждает это более подробно:
Может strace показать мне имя файла / путь для системных вызовов чтения / записи
Для этого и создан Auditd. Вы можете создать простые правила для регистрации определенных форм доступа по uid, gid (больше или меньше, чем uid / gid), каталогу, файловой системе и т. Д.