Как смотреть в системе обращения read/write к файлам файловой системы

inotify? auditd?

а чем они отличаются? мне нужна поддержка tmpfs.
в описании к auditd мне непонятна фраза "It's responsible for writing audit records to the disk"

Это разные вещи.

Читни вот это по auditd.

Насколько я понимаю, inotify-ем проще смотреть за какой-то директорией или группой директорий, а вот auditd можно заставить логировать вообще всё. Главное в логах не утонуть :-)

strace ?

запустил inotifywatch -r /, он проработал несколько секунд, я не спешил перекличаться в новую вкладку терминала и ничего не успел сделать; он сообщил ... upper limit on inotify watches reached!
сделал

for a in /proc/sys/fs/inotify/max_*;do printf 0 >$a;done

я не умею им пользоваться. как можно задать ему выводить только read/write вайлов для всех работающих в системе процессов?

можно сделать, чтобы он неограниченно работал?

Насколько я знаю - нет

для всех нельзя, для одного только

хотя можно и для всех, если к каждому работающему процессу приаттачить и флаг, чтоб форки тоже отслеживались

ТСу я так понял нужно логирование ВСЕХ действий в системе, а не только какой-то одной проги - тут strace не подойдет.

а в каком пакете в генте auditd? eix auditd ничего не выдал

можно ж ко всем процессам приаттачить по экземпляру strace-a :)

https://packages.gentoo.org/packages/sys-process/audit

тормозить, наверное, будет

Я бы назвал это «неэлегантным удалением гланд через жопу». Плюс я думаю такая куча экземпляров strace нехило офигеет отслеживать форки - это если запускать на уже активной системе.

имеет питоновские юз-флаги. написано на питоне? оно как вообще работает? парсит какие-то файлы в /proc или /sys? если да, то это неправильное решение, т.к. парсер имеет время, когда он в цикле не успеет сработать для быстрого эвэнта

Ээээ... Ты ссылку что я тебе давал читал? audit-подсистема - это часть ЯДРА. userspace-пакет - это рулилка, которая говорит что логировать.

запустил auditd

> auditctl -l
-a never,exit -F arch=b64 -S read,write,open,close
-a never,exit -F arch=b32 -S read,write,open,close
-w / -p rwxa

Visualizing Linux IO with Seekwatcher and blktrace. Подойдёт?

blktrace только для блочных устройств? мне нужно для /tmpfs

Тогда fatrace.

Вам только со стороны понаблюдать? Если с перспективой перехвата доступа, то fanotify

Я так делал, вполне норм, правда лог лучше разместить в tmpfs.

iostat -xk -t 10

Утилита из пакета sysstat

#! /usr/bin/env stap

global reads, writes, total_io

probe vfs.read.return {
    reads[execname()] += bytes_read
}

probe vfs.write.return {
    writes[execname()] += bytes_written
}

# print top 10 IO processes every 5 seconds
probe timer.s(5) {
    foreach (name in writes)
        total_io[name] += writes[name]
    foreach (name in reads)
        total_io[name] += reads[name]
    printf ("%16s\t%10s\t%10s\n", "Process", "KB Read", "KB Written")
    foreach (name in total_io- limit 10)
        printf("%16s\t%10d\t%10d\n", name,
               reads[name]/1024, writes[name]/1024)
    delete reads
    delete writes
    delete total_io
    print("\n")
}

В более детальном виде iotime.stp

а ты «смышлён»

отож )

fatrace

кажется, то что нужно