Estoy tratando de encontrar una forma confiable de encontrar qué proceso en mi máquina está cambiando un archivo de configuración ( /etc/hosts
para ser específico).
Sé que puedo usar lsof /etc/hosts
para averiguar qué procesos tienen actualmente abierto el archivo, pero esto no ayuda porque el proceso obviamente está abriendo el archivo, escribiéndolo y luego volviéndolo a cerrar.
También miré lsof
la opción de repetición (-r), pero parece que solo va tan rápido como una vez por segundo, lo que probablemente nunca capturará la escritura en progreso.
Conozco un par de herramientas para monitorear los cambios en el sistema de archivos, pero en este caso quiero saber qué proceso es responsable, lo que significa atraparlo en el acto.
fuente
ausearch
siempre regresa<no matches>
También puedes usar inotify-tools:
fuente
Después de mucha búsqueda, encontré la solución, solo use este comando:
sudo fs_usage | grep [path_to_file]
fuente
probablemente mejor usar algo como incron entonces
http://inotify.aiken.cz/?section=incron&page=about&lang=en
entonces puede hacer que active una secuencia de comandos para una especie de diags
fuente