Назад | Перейти на главную страницу

Как проверить, какие процессы удаляют файлы без использования inotify или auditd?

Я пытаюсь выяснить, какие процессы удаляют файлы из определенного каталога на моем сервере CentOS.

я смотрел на inotify, но все это говорит мне, сколько файлов было удалено; он не сообщает мне, какой процесс запускал какой пользователь выполнил удаления, и не сообщает мне, когда они произошли.

Я тоже пробовал auditd, но я мне не удалось настроить его на моем сервере.

Есть ли у кого-нибудь другой инструмент, который они могут предложить, чтобы сделать это?

auditd - это правильный инструмент, который следует использовать здесь, man auditctl и правильно установите свои правила. Немного полезной информации: http://www.nsa.gov/ia/_files/os/redhat/rhel5-guide-i731.pdf