Durante a montagem de um dispositivo, o comando mount emitirá uma chamada de sistema aberta. Assim, uma abordagem é usar o subsistema de auditoria do Linux para registrar as leituras no dispositivo de cdrom. Primeiro, você precisa ativá-lo.
yum install audit
chkconfig auditd on
service auditd start
auditctl -e 1
Agora, você precisa descobrir seu dispositivo de cdrom e adicionar a regra para registrar as leituras.
readlink -f /dev/cdrom
auditctl -w /dev/sr0 -p r
Agora, se eu tiver um shell com meu diretório de trabalho / var / log e eu executar
mount /dev/sr0
Depois, haverá três linhas relacionadas em /var/log/audit/audit.log
type=SYSCALL msg=audit(1301280283.689:15549): arch=c000003e syscall=2 success=yes exit=3 a0=7f0d3af92820 a1=0 a2=0 a3=1 items=1 ppid=14660 pid=14661 auid=500 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts4 ses=231 comm="mount" exe="/bin/mount" key=(null)
type=CWD msg=audit(1301280283.689:15549): cwd="/var/log"
type=PATH msg=audit(1301280283.689:15549): item=0 name="/dev/sr0" inode=5821 dev=00:05 mode=060660 ouid=0 ogid=11 rdev=0b:00
Esta abordagem não é uma boa ideia se houver outros processos que leiam regularmente o dispositivo de cdrom. Em um sistema Fedora 14, o daemon udisks parece pesquisá-lo a cada segundo. No entanto, em um sistema CentOS 5.5, parece não haver nada acessando-o.