Procesy, které změnily soubory

Vitek

Procesy, které změnily soubory
« kdy: 05. 05. 2016, 06:55:19 »
Ahoj,

potreboval bych poradit mam RPI a rad bych vedel, ktere procesy meni soubory na sdkarte.

Podle statistiky na zaklade souboru /sys/block/mmcblk0/stat to vypada, ze  ze se kazdy den zapise cca 7MB dat.

DatumPocet req   diff       Pocet sektoru   MB   diff MB
02.05.2016     215221203779588
03.05.20162239487212186755957
04.05.20162316977512330676027


A tak by me zajimalo kam, protoze na logy to nevypada. Ty jdou do tmpfs.
Muze to byt ten swap?

viz fstab
proc            /proc           proc    defaults          0       0
/dev/mmcblk0p1  /boot           vfat    defaults          0       2
/dev/mmcblk0p2  /               ext4    defaults,noatime  0       1
# a swapfile is not a swap partition, no line here
#   use  dphys-swapfile swap[on|off]  for that
tmpfs /tmp tmpfs defaults,noatime,nosuid,size=100m 0 0
tmpfs /var/tmp tmpfs defaults,noatime,nosuid,size=30m 0 0
tmpfs /var/log tmpfs defaults,noatime,nosuid,mode=0755,size=100m 0 0
#tmpfs /var/run tmpfs defaults,noatime,nosuid,mode=0755,size=2m 0 0
tmpfs /var/spool/mqueue tmpfs defaults,noatime,nosuid,mode=0700,gid=12,size=30m 0 0


« Poslední změna: 05. 05. 2016, 08:44:29 od Petr Krčmář »


JardaP .

  • *****
  • 11 064
    • Zobrazit profil
    • E-mail
Re:Procesy, které změnily soubory
« Odpověď #1 kdy: 05. 05. 2016, 09:26:49 »
Auditd? https://wiki.archlinux.org/index.php/Audit_framework

Jinak pomoci find byste si mohl nechat vyhledavat soubory, ktere byly zmeneny napriklad za posledni hodinu nebo treba den. Z jejich nazvu ci obsahu byste mozna byl schopen urcit, kdo si s nimi hral.

Pokud podezirate swap, sledujte free, jestli v nem vubec neco je. Pokud je pouzito 0 bajtu, tak to swap asi nebude.

Vitek

Re:Procesy, které změnily soubory
« Odpověď #2 kdy: 05. 05. 2016, 09:48:09 »
Diky za radu ohledne free, to ukazuje 0, takze swap to neni.

Jeste jsem narazil na inotifywatch, tak uvidim co z nej vyleze
sudo sysctl fs.inotify.max_user_watches=20000
sudo inotifywatch -v -e close_write -e create -t 3600 -r /

Diky Vitek

Youda

Re:Procesy, které změnily soubory
« Odpověď #3 kdy: 08. 05. 2016, 23:24:49 »
Jako prvni pokus bych zkratka pustil find -mtime na vsechny vary/homy/tempy a zjistil, do ceho se hrabe.
Ze souboru by melo jit poznat, komu patri. Kdyz tak man fuser, man lsof