到底谁动了我的文件?-- 利用systemstap实现lsof功能

最新推荐文章于 2022-04-03 10:25:41 发布
最新推荐文章于 2022-04-03 10:25:41 发布
阅读量195 收藏 1
点赞数
分类专栏: linux 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xie110dong/article/details/120728109
版权

1、问题:

工程实践中,总是会出现一种情况:我的配置文件莫名其妙的被修改了,但是,具体是被用户修改了?还是因为bug被工程中代码修改了?不得而知。

2、思路:

1)一般来说,我们可以通过lsof命令去跟踪到底是谁动了我的配置文件。例如:

lsof config.xml

但是,如果执行命令时,在此时此刻,修改者没有触碰config.xml,那么lsof是捕捉不到他的。

2)进阶版就是利用watch命令,定时追踪,例如:

nwatch -n 1 "lsof config.xml"

但是,这也仍然是碰机会,只不过把概率加大了,即使碰到,我们可能也只能得到修改者的pid而已,修改者修改完config.xml后如果已经退出了,我们拿到一个过去的pid仍然没有什么作用。

 

3、解决

此时,我们可以使用systemstap实现lsof功能,当有人写config.xml时,捕捉他的踪迹。

具体什么是systemstap,此处我就简要带过,感兴趣的同学可以自行查询,

systemtap 是利用Kprobe 提供的API来实现动态地监控和跟踪运行中的Linux内核的工具,相比Kprobe,systemtap更加简单,提供给用户简单的命令行接口,以及编写内核指令的脚本语言。

可以参考:内核探测工具systemtap简介 - hazir - 博客园 (cnblogs.com)

下面实现stap脚本,例如:

probe syscall.open {
    if (filename =~ ".*config\.xml" && ((flags & 0x3) == 1 || (flags & 0x3) == 2)) {
        printf("PID=%u CMD=\"%s\" TIME=%u\n", pid(), cmdline_str(), gettimeofday_s())
    }
}

注释:检查文件名正则包含config.xml的文件,flags表明是写操作打开。

运行stap脚本,看结果

stap -v lsof.stp

注意:当出现“Pass 5:starting run.”字样后,代表监控开始,此时,我们尝试vim config.xml

 可以看到,本次vim的写操作,被stap脚本捕捉到了。

4、总结

systemstap优点:不用碰运气,能100%捕捉跟踪;缺点:需要学习stp脚本编码规范,规范及其常用函数可以参考:SystemTap Tapset Reference Manual

十年23
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
lsof使用实例
破茧
12-08 468
lsof使用实例 查找谁在使用文件系统 在卸载文件系统时,如果该文件系统中有任何打开的文件,操作通常将会失败。那么通过lsof可以找出那些进程在使用当前要卸载的文件系统,如下: # lsof /GTES11/ COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME bash 4208 root cwd DIR 3,1 4096 2 /GTES11/ vim...
lsof 4.81源码
07-16
在网上看到许多人将lsof的源码拿来卖分,像这种开源资源也要花资源分去下载,看着真是有点不地道!特传至此,免费下载! lsof命令在嵌入式中还是挺有用的,而在一般的嵌入式系统中,并没有移植该命令,需要自己移植。 本资源原下载地址:http://archive.ubuntu.com/ubuntu/pool/main/l/lsof/lsof_4.81.dfsg.1.orig.tar.gz 交叉编译步骤: export LSOF_CC=arm-arago-linux-gnueabi-gcc export LSOF_HOST="arm-linux" export LINUX_CLIB="-DGLIBCV=2" export LINUX_KERNEL="/ipc/DM8127/Source/ti_tools/ipnc_psp_arago/kernel" export LSOF_INCLUDE="/ipc/DM8127/Source/ti_tools/linux_devkit/arm-arago-linux-gnueabi/usr/include" ./Configure linux make
了我的文件
weixin_33722405的博客
10-07 136
了我的文件?一、事件背景本文描述了IT经理小李在一起广告公司文件泄露的案件中,通过对交换机、服务器日志和邮件信头进行分析,利用多方面日志内容验证了他的推测,最后他将这些蛛丝马迹汇总起来,勾勒出了这次***事件的完整过程。大家在看完事件的描述后,是否知道在FTP和SSH日志中找到了什么线索?下面故事开始啦。 故事主人公小李在一家渲染农场(Render Farm)电影特效公司上班,前不久刚刚被提升...
了我的文件 : 用systemtap监控
chengfangang的专栏
03-02 2584
转载地址:http://blog.chinaunix.net/uid-24774106-id-3512909.html   前些日子,我的同事Qing发现,在我们服务器上PHP代码路径下多了一个log文件,从没注意到有这个log文件,但是log文件的格式明显不是我们生成的,格式比较简单,甚至没有function name,log level,明显是我们使用的某个第三方库的输出。到底是那个进程
了我的文件--文件权限管理
Adambee08的博客
01-06 261
这篇文章首发于我的博客,转载可注明出处。 这篇文章会讲述文件权限相关的内容,并告诉你为什么会出现“permission deny”和如何解决这个问题。 文件属性和文件权限 在谈文件权限之前我们先在终端键入ls -l,看看会发生什么。 $ ls -l total 40 -rw-r--r-- 1 adambee staff 589 12 9 11:28 asset-
了我的文件——使用audit监控文件和目录
Blue summer的博客
07-13 1万+
有时候在系统上经常会遇到某个文件不知被谁修改了,或者删除了,又找不到证据,这时候audit就派上用场了。 比如我要监控/var/log/test这个目录,可以这样新增一个监控项, [root@CentOS-7-2 /var/log/test]# auditctl -w /var/log/test [root@CentOS-7-2 /var/log/test]# auditctl -l -w...
lsof-master交叉编译之后的lsof命令
01-19
交叉编译完成的lsof命令,适合在arm-cpu架构的服务器上使用
lsof-4.87-6.el7.x86_64.rpm
02-20
安装lsof-4.87-6.el7.x86_64.rpm包后,可以通过命令行输入`lsof`来启。这个命令会列出所有运行中的进程以及它们打开的文件。通过参数 `-c` 可以指定特定进程,例如 `lsof -c nginx` 将显示nginx进程打开的所有文件...
Python-python版本的lsof到graphviz解析器
08-10
`lsofgraph-python-master`这个压缩包文件很可能包含了实现这一功能的Python源代码。`Graphviz`是一个强大的图形绘制软件库,支持自布局算法,常用于绘制流程图、网络图等,使得复杂的系统关系得以直观呈现。 这...
linux 打开9411端口,Linux下实现lsof
weixin_29130215的博客
04-30 170
lsof 是 Linux 下的一个非常实用的系统级的监控、诊断工具。它可以用来列出被各种进程打开的文件信息,记住:Linux 下 “一切皆文件”,因此,使用 lsof,你可以获取任何被打开文件的各种信息lsof 是 Linux 下的一个非常实用的系统级的监控、诊断工具。它的意思是 List Open Files,很容易你就记住了它是 “ls + of”的组合~它可以用来列出被各种进程打开的文件信息...
lsof命令的几个妙用
weixin_34301307的博客
07-23 194
lsof(list open files)是一个列出当前系统打开文件的工具。在linux环境下,任何事物都以文件的形式存在,通过文件不仅仅可以访问常规数据,还可以访问网络连接和硬件。可以被打开的文件可以是:1.普通的文件,2.目录  3.网络文件系统的文件,4.字符设备文件  5.(函数)共享库  6.管道,命名管道 7.符号链接 8.底层的socket字流,网络socket,unix域名.......
linux lsof 代码,Linux之lsof命令(示例代码)
weixin_42443533的博客
05-12 174
lsof命令简介:lsof(list open files)是一个列出当前系统打开文件的工具。在Linux环境下,任何事物都以文件的形式存在,通过文件不仅仅可以访问常规数据,还可以访问网络连接和硬件。所以,lsof功能很强大。一般root用户才能执行lsof命令,普通用户可以看见/usr/sbin/lsof命令,但是普通用户执行会显示“permission denied”。因此通过lsof工具能...
stap监控IO脚本
congdiku5262的博客
06-02 306
IO相关ioblock.request--没有参数,当产生IO请求时出发ioblock.end--没有参数,在1个IO块请求transfer后出发ioblock_trace.request--对bio产生一个IO请求时触发iob...
Linux 命令 | 常用命令 lsof 详解 + 实例
热门推荐
Linux猿
04-02 4万+
Linux 命令 losof 详解 + 实例
linux程序性能分析工具stap,《面向应用开发者的系统指南》CPU篇之使用systemtap分析进程的行为...
weixin_42509548的博客
05-02 996
本文是《面向应用开发者的系统指南》文档其中的一篇,完整的目录见《面向应用开发者的系统指南》导论。概述以上描述进程的创建、执行、调度器的工作原理,有了这些准备之后,可以使用systemtap在系统中埋点进行一些跟踪,以便理解进程的行为。分析进程对CPU的占用简单回顾一下前面进程调度相关的内容:内核中使用就绪队列来维护当前所有处于可运行状态的进程,可运行状态不包括等待IO、休眠等状态的进程。进程调度器...
【技术干货】听阿里云CDN安防技术专家金九讲SystemTap使用技巧
weixin_33924220的博客
08-18 499
1.简介 SystemTap是一个Linux非常有用的调试(跟踪/探测)工具,常用于Linux 内核或者应用程序的信息采集,比如:获取一个函数里面运行时的变 量、调用堆栈,甚至可以直接修改变量的值,对诊断性能或功能问题非 常有帮助。SystemTap提供非常简单的命令行接口和很简洁的脚本语 言,以及非常丰富的tapset和例子。 2.何时...
SystemTap基本用法介绍
编程随手记
04-03 1516
文章目录可探查的事件可打印的内容打印搜索路径嵌入c语言 可探查的事件 名称 说明 begin systemtap 会话打开 end systemtap会话结束 kernel.function(“sys_open”) kernel 的sys_open函数 syscall.close.return close被系统调用 module(“ext3”).statement(0xdeadbeef) ext3文件系统驱中的地址 timer.ms(200) 每200毫秒触发一次的计时
SystemTap介绍
weixin_38428439的博客
11-24 2359
简介 SystemTap是一个诊断Linux系统性能或功能问题的开源软件。它使得对运行时的Linux系统进行诊断调式变得更容易、更简单。有了它,开发者或调试人员不再需要重编译、安装新内核、重启等烦人的步骤。 为了诊断系统问题或性能,开发者或调试人员只需要写一些脚本,而且SystemTap本身也提供了很多脚本,称为”tapset”方便开发,然后通过SystemTap提供的命令行接口就可以对正在运行的内核进行诊断调试,以前需要的修改或插入调试代码、重新编译内核、安装内核和重启等这些琐碎的工作完全消除。目前
linux监控文件变化的程序,在 Linux 下监控程序修改文件
weixin_35478664的博客
05-07 1977
工作中, 有时候我们需要知道某个文件是否被修改了, 被哪个程序修改了. Linux 下可以很方便地监控某个文件被修改的记录. 根据目的不同, Linux 下有不同的监视文件文件夹的方案.A. AuditdAuditd 可以很方便监控记录哪些程序和用户对指定文件 (即使不存在) 做的操作.安装 auditd一般发行版软件仓库里都会有 auditd 安装包. 如果默认没有安装, 可以很方便地利用包管...
ps -aux 和netstat -ano 和lsof -i -P
最新发布
05-10
这三个命令都是用于查看系统中的进程和网络连接信息的。...- lsof -i -P:该命令可以列出系统中打开的网络连接和监听的端口信息。其中,i选项表示列出网络连接信息,P选项表示使用数字形式显示端口号。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

十年23

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值