Equivalente ao SysInternals FileMon for Linux?

Você está procurando strace. Dê uma olhada aqui: link

Depende do que você quer:

• No grande, você quer olhar para inotify para ver todos os acessos de arquivo que qualquer processo faz.

• No pequeno, o strace permite que você observe as syscalls que um determinado processo faz. Strace é muito legal. Você pode rastrear as chamadas de um processo para 'abrir' fazendo strace -f -eopen $cmd , por exemplo. A página de manual tem detalhes completos sobre a sintaxe, é claro.

strace na frente de um aplicativo inicial é bom para observar o que o aplicativo está fazendo.
lsof é bom para ver quais arquivos um aplicativo já em execução está usando.

BTW:
lsof -ni:22 mostra qual processo está usando a porta 22.

A SGI tem uma ferramenta que você pode tentar: link

Aqui está um exemplo do uso de strace para rastrear alterações de arquivos:

strace -f -e trace=file -p7546 -o /tmp/outputfile

-f garante que eventos de processos filhos sejam capturados.
-e trace=file diz que devemos capturar syscalls relacionados a arquivos (por exemplo, stat , open , futex etc.) -p é o ID do processo (recuperado de ps -aux ou outros meios) -o especificou o arquivo de saída (pode haver muitos dados e você pode usar o grep como filtro.

Teste sysdig . Por exemplo:

sysdig -A -c echo_fds

Isso pede ajuda de Mortadelo. link

Isso é antigo, mas acho uma boa ideia atualizá-lo para a realidade de hoje.

Para depurar apenas um processo e seus filhos, o strace ainda é o melhor caminho. Pode mostrar facilmente todo o acesso a arquivos, mesmo em arquivos perdidos.

Para depuração genérica do sistema, o recurso de auditoria no kernel pode fazer isso e é o caminho recomendado. Ele não precisa de nenhum patch nos kernels recentes, apenas o pacote de auditoria instalado

aqui está um guia simples para usá-lo:

auditoria-gui

Isso replica o filemon do windows, monitorando o acesso ao arquivo para todos os lugares, processos, etc.

verifique também o esta postagem