¿Existe una herramienta para monitorear qué procesos abren qué archivos en el sistema para que pueda rastrear qué proceso sigue tocando un archivo específico?
Lsof puede averiguar si lo ejecuta mientras el proceso tiene el archivo abierto, pero si es un proceso de corta duración que se ejecuta de vez en cuando, no puede detectarlo con lsof. Necesita algo que use el rastreo del kernel.
kernel
command-line
filesystem
psusi
fuente
fuente
Respuestas:
Tal vez podría usar el sistema de auditoría para eso. Es un poco pesado, pero algo como esto debería funcionar (en /etc/audit/audit.rules):
y luego creo que necesitas reiniciar auditado:
(En caso de que no lo tenga instalado, está en el paquete auditado). El culpable se puede encontrar en /var/log/audit/audit.log.
fuente
Desafortunadamente, el mecanismo que usa Linux para permitir que uno monitoree los archivos es inotify, que no proporciona suficiente información para extraer datos útiles: solo obtiene el nombre del archivo y la acción que se realizó.
He intentado usar algo como esto:
Esto escucha los eventos de inotify en el directorio especificado y para cada evento ejecuta lsof para intentar atrapar el proceso que toca el archivo. Desafortunadamente para la mayoría de los accesos que probé (como usar un editor para escribir en un archivo), el comando LSOF es lento y no logra atrapar el proceso ofensivo.
Si sus procesos hacen un IO más intenso en los archivos problemáticos, entonces su kilometraje puede variar. Buena suerte.
fuente
fnotifystat es una herramienta que ha sido diseñada para observar la actividad de los archivos de Linux
Muestre los 10 archivos activos principales cada 60 segundos hasta que se detenga:
Muestra la actividad del archivo cada 10 segundos solo 6 veces:
Mostrar actividad de archivo de thunderbird e ID de proceso 1827:
Muestre cada evento de notificación de archivo y los 20 principales archivos de actividad activa en un solo período de 5 minutos:
Simplemente muestre cada evento de notificación de archivo en / sys y / proc y no estadísticas periódicas:
Consulte la página de manual de fnotifystat para obtener más información, es una herramienta bastante flexible.
fuente