auditd を使用して、そのファイルを監視するルールを追加できます:
auditctl -w /path/to/that/file -p wa
次に、エントリが /var/log/audit/audit.log に書き込まれるのを監視します .
SystemTap は inodewatch スクリプトを使用してこれを行うことができます。
探しているプログラムがまだファイルを開いている場合は、次を使用できます:
sudo lsof /path/to/file/being/modified
次のスクリプト getfileusers.sh を使用して、これを小さなループで呼び出すこともできます。 :
#!/bin/sh
FILE=$1
while true; do
lsof "${FILE}"
done > /tmp/fileusers.log
そしてそれを呼び出します:
sudo ./getfileusers.sh /path/to/file/being/modified
そして最終的に /tmp/fileusers.log を調べます 誰がファイルに触れたかを確認するには...