Supervise cómo y cuándo un proceso accede a archivos con opensnoop
Puede rastrear lo que está haciendo un sistema de archivos usando el comando opensnoop. Para probar esto, inicie la Terminal y luego siga las instrucciones para aprender cómo realizar un seguimiento por aplicaciones, uso de archivos, ID de proceso y más.
Hay dos formas de especificar qué aplicación está rastreando, puede usar el nombre del proceso, que obviamente es más fácil, o usar el código numérico del proceso:
sudo opensnoop -n applicationName
Para rastrear Safari, usamos:
sudo opensnoop -n Safari
O puede usar el ID de proceso:sudo opensnoop -p PID
PID es el ID del proceso, puede obtenerlo usando el comando ps con grep para obtener un ID del proceso:ps aux|grep iTunes
Luego use el PID resultante con opensnoop:sudo opensnoop -p 4621
También puede monitorear qué procesos acceden a un archivo en particular con el mismo comando:
sudo opensnoop -f filename
Por ejemplo, observe a qué accede / etc / hostssudo opensnoop -f /etc/hosts
El comando opensnoop es mucho más poderoso que esto, pero estas son dos formas poderosas pero fáciles de usar el comando. De hecho, hemos tratado esto antes siguiendo el uso de aplicaciones en Mac OS X, pero hemos recibido otra pregunta al respecto, así que aquí estamos.
OpenSnoop es similar a lsof, que cubrimos anteriormente al verificar el software espía en su Mac y ver todas las conexiones a Internet abiertas en su Mac.