Я у Вас есть корневой доступ, я думаю, что лучший инструмент был бы контрольной подсистемой. Нет большой литературы об этом (но больше, чем о loggedfs); можно запустить с этого учебного руководства или a немногие примеры или только с auditctl
страница справочника. Здесь, должно быть достаточно удостовериться, что демон запускается, затем выполняется auditctl
как корень:
auditctl -a exit,always -F pid=1234 -F dir=/home/philipp
Это запишет в, входит в систему /var/log/audit/audit.log
каждый раз процесс с pid 1234 пишет где-нибудь под /home/philipp
. Издержки являются довольно маленькими, намного меньшими, чем strace
.
noload
не выключает журналирование. Это подавляет загрузку журнала, не выключая журналирование. Как можно предположить, это обычно - не хорошая вещь.
noload
главным образом полезно для монтирования диска как только для чтения, не изменяя его малейшим способом, даже не воспроизводя журнал. Можно считать большинство данных этот путь, и можно даже считать все данные, если журнал был сброшен (путем вызова sync
). Например, это - способ читать из файловой системы, которая в настоящее время монтируется бывшей в спящем режиме системой.
noload
май или не может быть причиной Вашей проблемы, но в любом случае это - очень плохая идея и определенно не что-то для использования в /etc/fstab
.
Как man mount
описывает это:
norecovery/noload
Не загружайте журнал на монтировании. Обратите внимание, что, если файловая система не была размонтирована чисто, пропустив воспроизведение журнала, приведет к файловой системе, содержащей несоответствия, которые могут привести к любому количеству проблем.
Необходимо действительно только использовать эту опцию смонтировать файловую систему так, чтобы можно было делать попытку восстановления с fsck
. Это не должна быть часть стандарта /etc/fstab
запись для файловой системы журналирования как ext4
.
fsck
файловая система (на следующей начальной загрузке) теперь, когда у Вас есть он назад онлайн только, чтобы удостовериться, что все в порядке...
– jasonwryan
15.01.2013, 08:38