1
如何实时监视进程的打开文件?
我知道我可以lsof 及时在Linux机器上使用来查看进程的打开文件。但是,进程可以如此快速地打开,更改和关闭文件,以致在使用标准外壳脚本(例如watch)监视文件时,我无法看到它,如“在Linux上监视打开的进程文件(实时)”中所述。。 因此,我认为我正在寻找一种简单的方法来审核流程,并查看经过一段时间后所做的工作。如果还可以查看(尝试)建立了哪些网络连接并在没有时间开始审核之前有时间运行审核,则可以开始审核。 理想情况下,我想这样做: sh $ audit-lsof /path/to/executable 4530.848254 OPEN read /etc/myconfig 4530.848260 OPEN write /var/log/mylog.log 4540.345986 OPEN read /home/gert/.ssh/id_rsa <-- suspicious 4540.650345 OPEN socket TCP ::1:34895 -> 1.2.3.4:80 | [...] 4541.023485 CLOSE /home/gert/.ssh/id_rsa <-- would have missed 4541.023485 CLOSE socket TCP ::1:34895 -> 1.2.3.4:80 | this when polling 使用strace和一些标志看不到每个系统调用是否可能?