Os arquivos são alterados, é basicamente para isso que eles existem. Às vezes, porém, eles mudam quando você não espera. Às vezes, repetidamente, não importa o quanto você chmodos faça. Nesse caso, é útil ser capaz de descobrir o que está fazendo as alterações e quando.
O pacote auditd fornece utilitários que tornam isso fácil. Instale-o usando seu gerenciador de pacotes favorito e, em seguida, use os seguintes comandos:
Crie uma nova regra
auditctl -w <path> -p <permissions> -k <key>-
-w <path>Observe o caminho especificado -
-p <permissions>Operações a serem observadas (mapeadas para permissões: [r] ead, [w] rite, e [x] ecute, [a] ttributes) -
-k <key>Identifique os eventos principais com, para facilitar a pesquisa
Encontre eventos
ausearch -f <path>-
-f <path>Caminho para procurar eventos para
ou
ausearch -k <key>-
-k <key>Chave para procurar
Regras de lista
auditctl -lExcluir uma regra
auditctl -W <path>-
-W <path>Pare de observar o caminho especificado
De Superusuário