Есть ли какой-либо инструмент или журналы, которые могли бы дать информацию об этом? Кроме того, если нет способа выяснить вышеизложенное, тогда ... я могу сделать что-то, что сообщит мне, когда кто-то или какой-либо сервис попытался удалить папку.
2 ответа
0
Этот небольшой скрипт Dtrace будет легко регистрировать каждое удаление файла в системе:
dtrace -qn 'syscall::unlink*:entry { printf("%d, %s, %s\n", uid, execname, copyinstr(arg0));}
syscall::fsat:entry /arg0 == 5 / { printf("%d, %s, %s\n", uid, execname, copyinstr(arg2));}'
0
AFAIK, нет никакого "готового" решения, но вы могли бы использовать управляемый событиями наблюдатель файла для событий файловой системы (в каталоге, в котором он находится), - затем искать вызывающую (ые) программу (ы), соответствующие дескриптору.
Если вам нужно такое приложение, то, возможно, стоит обратиться в StackOverflow, поскольку вы не можете быть единственными с такой необходимостью.