Monitora come e quando un processo accede ai file con opensnoop

Puoi osservare cosa sta facendo un processo con il tuo filesystem usando il comando opensnoop. Per provare questo, avviare il terminale e quindi seguire per imparare come guardare da applicazioni, l'uso di file, ID di processo e altro.

Ci sono due modi per specificare quale applicazione guardare, puoi usare sia il nome del processo che è ovviamente più semplice, o usare l'id numerico dei processi:

sudo opensnoop -n applicationName
Per tenere traccia di Safari, utilizzeremmo:

sudo opensnoop -n Safari

Oppure puoi usare l'ID di processo:
sudo opensnoop -p PID

Il PID è l'ID del processo, è possibile ottenere questo utilizzando il comando ps con grep per afferrare un id dei processi:
ps aux|grep iTunes

Quindi utilizzare il PID risultante con opensnoop:
sudo opensnoop -p 4621

Allo stesso modo, è possibile monitorare quali processi stanno accedendo a un file specifico con lo stesso comando:

sudo opensnoop -f filename

Ad esempio, guarda cosa sta accedendo a / etc / hosts
sudo opensnoop -f /etc/hosts

Il comando opensnoop è molto più potente di questo, ma questi sono due modi potenti ma semplici per usare il comando. In realtà abbiamo già trattato questo problema con il monitoraggio dell'utilizzo di applicazioni in Mac OS X, ma abbiamo ricevuto un'altra domanda in merito, quindi eccoci qui.

OpenSnoop è simile a lsof, di cui abbiamo parlato in precedenza quando si cerca spyware sul proprio Mac e quando si visualizzano tutte le connessioni Internet aperte sul proprio Mac.