在 FreeBSD/Linux 下监控哪个进程修改了文件

Question

有时，我感兴趣的文件会被某个进程修改。我需要找出哪个进程正在修改这个文件。使用 lsof 将不起作用，kqueue 也不起作用。这在 FreeBSD 和 Linux 下可行吗？

Answer 1

在 Linux 上，有一个针对 inotify 的内核补丁。但是，有些人说这很少有用，并且可能存在安全风险。无论如何，这里是patch。

除此之外，我不确定是否有任何方法可以使用 inotify 或 dnotify 获取 PID。您可以进一步调查（例如搜索 pid dnotify 或 pid inotify），但我认为这不太可能。

Answer 2

在 FreeBSD 上，最好是 check its auditing features。

Answer 3

Linux 有一个审计守护进程http://www.cyberciti.biz/tips/linux-audit-files-to-see-who-made-changes-to-a-file.html

另见auditd homepage

Answer 4

只要安装和使用 lsof (List Open Files) 命令，就可以看到哪些进程打开了文件。