nginx – ngingx.pid fehlt auf mysteriöse Weise. Ist es möglich zu überwachen, wer diese Datei über einen bestimmten Zeitraum hinweg bearbeitet hat?

Question

ngingx.pid ist auf mysteriöse Weise verschwunden. .
Gibt es eine Möglichkeit, diese Datei für einen bestimmten Zeitraum zu überwachen? Wer hat es operiert?

Answer 1

似乎比较麻烦。linux 2.6.13之后提供的inotify机制可以监控文件何时被删除，但是可能不太容易获取到删除者的信息。

绕一点的话，写一个unlink函数，包装unlink系统调用，把调用给出的文件名、调用进程的pid等信息保存到某个地方，然后用Linux的LD_PRELOAD机制替换系统的unlink函数。如果删除者不是静态链接/汇编直接调用unlink，那应该是可以看到结果的。