У меня есть каталог / some / dir, и я вижу, что в нем все время появляются новые файлы. Как мне узнать, какой процесс создает эти файлы?
Пытаться lsof +r2 | grep '/some/dir'. Это покажет процессы, обращающиеся к / некоторые / реж и обновлять каждые 2 секунды.
Использовать ядро audit подсистема
auditctl -w /some/dir/ -p war -k whatsgoingon
Это устанавливает ловушку, ожидающую, что что-то произойдет в / some / dir /.
Тогда убедитесь, что у вас есть auditd демон работает. После этого просто дождитесь появления файлов и смотрите из /var/log/auditd.log или где бы он ни был в вашей системе, он пишет и читает, что произошло и каким процессом.
lsof может помочь:
# lsof -r1 /some/dir/*