Есть ли какой-либо инструмент или журналы, которые могли бы дать информацию об этом? Кроме того, если нет способа выяснить вышеизложенное, тогда ... я могу сделать что-то, что сообщит мне, когда кто-то или какой-либо сервис попытался удалить папку.

2 ответа2

0

Этот небольшой скрипт Dtrace будет легко регистрировать каждое удаление файла в системе:

dtrace -qn 'syscall::unlink*:entry { printf("%d, %s, %s\n", uid, execname, copyinstr(arg0));}
syscall::fsat:entry  /arg0 == 5 / { printf("%d, %s, %s\n", uid, execname, copyinstr(arg2));}'
0

AFAIK, нет никакого "готового" решения, но вы могли бы использовать управляемый событиями наблюдатель файла для событий файловой системы (в каталоге, в котором он находится), - затем искать вызывающую (ые) программу (ы), соответствующие дескриптору.

Если вам нужно такое приложение, то, возможно, стоит обратиться в StackOverflow, поскольку вы не можете быть единственными с такой необходимостью.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .