Как узнать, кто пишет в папку

0

2

Есть папка, которая забивается бекапами и логами. Нужно понять, кто пишет туда. Как? Владелец файлов - рут. Как узнать, какой процесс туда записывал?

Забивается каталог /var. Из-за этого система жутко тормозит.

Удалял руками. За ночь раздел забивается полностью.

Ссылка

←	Проблема с коммитами

CSU/DSU модуль

→

если забивается логами, то настрой ротацию в syslog

outsider ★★
(30.03.12 12:01:12 MSK)

Ссылка

В папку /var пишут все процессы.

Для определения, куда срут больше всего, используй du. Автор обычно определяется по названию/содержанию файла.

/thread

om-nom-nimouse ★★
(30.03.12 13:16:42 MSK)

Ссылка

auditctl -w /var -p ...

man auditctl

Slavaz ★★★★★
(30.03.12 13:38:53 MSK)

Ссылка

Используй auditctl

Команда будет выглядеть так:

$ auditctl -w /var/dirname/ -p war -k wtf

где,
-w /var/dirname - будеть следить за этой директорией.
-p war - r=read, w=write, a=append
-k wtf - у этого события в логах будет ключ wtf

потом, можешь осуществить поиск по событиям:

$ ausearch -f /var/dirname -i | less

можно еще через lsof:

$ lsof +r1 | grep '/var/dirname'

beka ★
(30.03.12 13:46:32 MSK)

Ответ на: комментарий от beka 30.03.12 13:46:32 MSK

Спасибо за ответы, господа. :-)

dopedopedope ★
(30.03.12 13:50:50 MSK) автор топика

В «папки» пишет винда

anonymous
(31.03.12 21:48:45 MSK)

Ссылка

inotify?

на 100% не уверен, что для этого, так как тыкал давно и уже забыл...

BattleCoder ★★★★★
(31.03.12 22:12:49 MSK)

Ссылка

прочитать лог, и посмотреть имя пишущей программы, обычно в [] скобках

ну или посмотреть в /dev/fd или lsof открытые логи, если оно пишет не ч-з сислог

ну или тупо и очевидно, посмотреть самый большой файл лога, и по его названию должна быть понятна пишущая прога

развивай мозжечок, малыш

anonymous
(31.03.12 23:07:44 MSK)