Linux 中监视删除操作，有什么好的方案？

41 天前

brucewsl

需要显示：操作时间、删除的文件名、用户名等？对比了几个工具： inotifywait （无法显示用户名） auditctl （ 1.无法只监视 delete 操作，写操作也会记录、2.显示不够直观）

1758 次点击

所在节点

Linux

8 条回复

InkStone

41 天前

结合一下咯，用 inotify 检测到删除文件，就去 auditctl 中拉取删除信息。想展示成什么样自己拼接一下就好。

debuggeeker

41 天前

eBPF

ZXiangQAQ

41 天前

inotify 只能拿到事件吧，想拿到用户名之类的信息，还是得审计日志

写个小工具监听审计日志，过滤到 nametype=DELETE 的条目，然后根据 key 拿文件名、用户名等信息

codehz

41 天前

用 bpftrace
监听 kprobe:vfs_unlink

guanzhangzhang

41 天前

audid 部分版本会有问题，看过一个国外大佬分享视频，什么 perf 和 dtrace 和 system-tap 都没 bpftrace 快，找下 bpftrace 的对应 probe 和 tracepoint 监听下

PTLin

41 天前

下个 bpftrace ，然后运行
sudo bpftrace -e 't:syscalls:sys_enter_unlink* {time("%H:%M:%S");printf(" pid=%d, uid=%d, comm=%s, path=%s\n",pid,uid,comm,str(args->pathname));}'

JoeJasper

40 天前

```
sudo apt-get install bpftrace

sudo bpftrace -e 't:syscalls:sys_enter_unlinkat {time("%H:%M:%S");printf(" pid=%d, uid=%d, comm=%s, path=%s\n",pid,uid,comm,str(args->pathname));}'
```

brucewsl

35 天前

最后使用了 Auditbeat ，基本可以满足需求

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1040852

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.