Övervaka hur och när en process öppnar filer med opensnoop

Du kan se vad en process gör med ditt filsystem genom att använda kommandot opensnoop. För att prova detta, starta terminalen och följ sedan med för att lära dig hur du tittar på applikationer, filanvändning, process ID och mer.

Det finns två sätt att ange vilken applikation du vill titta på, du kan antingen använda processnamnet som är uppenbarligen lättare eller använda processerna numeriskt id:

sudo opensnoop -n applicationName
För att spåra Safari använder vi:

sudo opensnoop -n Safari

Eller du kan använda process-id:
sudo opensnoop -p PID

PID är process ID, du kan få detta genom att använda ps-kommandot med grep för att ta tag i processer id:
ps aux|grep iTunes

Använd sedan den resulterande PID med opensnoop:
sudo opensnoop -p 4621

På samma sätt kan du övervaka vilka processer som använder en specifik fil med samma kommando:

sudo opensnoop -f filename

Se till exempel vad som går åt / etc / hosts
sudo opensnoop -f /etc/hosts

Opennoop-kommandot är mycket kraftfullare än detta, men det är två kraftfulla men enkla sätt att använda kommandot. Vi täckte faktiskt detta tidigare med att spåra en applikationsanvändning i Mac OS X men vi fick en annan fråga i frågan så här är vi.

OpenSnoop ligner på lsof, som vi tidigare har täckt när du letar efter spionprogram på din Mac och när du tittar på alla öppna internetanslutningar på din Mac.