Rastrear o acesso ao HDD?

2

Como posso rastrear o acesso ao HDD? Não em um sentido de monitoramento de MB / s como iotop . Meu HDD de armazenamento em massa interno fica permanentemente acordado e eu quero encontrar o processo maligno com uma lista absoluta de acessos.

    
por ManuelSchneid3r 04.07.2014 / 20:11

1 resposta

0

Dê uma olhada nesta lista de perguntas e respostas intitulada: Número de solicitações de E / S de microinstâncias do Amazon EC2 , em que forneço detalhes sobre uma ferramenta chamada fatrace . Eu também cobri-lo neste Q & A intitulado: Determinando arquivo específico responsável por Alta E / S .

fatrace

Esta é uma nova adição ao Kernel Linux e bem-vinda, por isso é apenas em novas distribuições como o Ubuntu 12.10. Meu sistema Fedora 19 também tem acesso a ele.

Ele fornece o mesmo acesso que você pode obter inotify sem precisar direcionar um diretório e / ou arquivos específicos.

$ sudo fatrace
pickup(4910): O /var/spool/postfix/maildrop
pickup(4910): C /var/spool/postfix/maildrop
sshd(4927): CO /etc/group
sshd(4927): CO /etc/passwd
sshd(4927): RCO /var/log/lastlog
sshd(4927): CWO /var/log/wtmp
sshd(4927): CWO /var/log/lastlog
sshd(6808): RO /bin/dash
sshd(6808): RO /lib/x86_64-linux-gnu/ld-2.15.so
sh(6808): R /lib/x86_64-linux-gnu/ld-2.15.so
sh(6808): O /etc/ld.so.cache
sh(6808): O /lib/x86_64-linux-gnu/libc-2.15.so

O texto acima mostra a ID do processo que está acessando o arquivo e o arquivo que está acessando, mas não fornece nenhum uso geral da largura de banda, portanto, cada acesso é indistinguível de qualquer outro acesso.

OBSERVAÇÃO: fatrace pode receber um argumento -p PID para que você possa direcioná-lo para assistir a um único PID se desejar.

    
por 05.07.2014 / 02:21