찾기: 백업을 작성하는 사람

직접적으로 알 수는 없습니다. 당신이 가지고 있는 유일한 정보는소유자그리고 파일의 타임스탬프입니다.

소유자

문제의 파일 소유자가 이기 때문에 root이는 정보를 거의 제공하지 않습니다 .

타임스탬프 - mongodb

보시 mongodb다시피 백업은 모두 기본적으로 같은 시간(오전 4시 15분)에 이루어졌습니다. 서비스 로드가 매우 적은 밤에 생성이 발생했다는 사실로 인해 백업이 프로세스에 의해 트리거될 가능성이 높습니다 cron. 따라서 크론 구성을 확인해야 합니다.

• /etc/crontab(보통 시스템에 의해 제어되기 때문에 가능성이 낮음)
• /etc/cron.daily/(어쩌면 설정에 따라 다르겠지만 내 Debian/jessie 시스템에서는일일 플래너에 따르면 작업은 오전 6시 25분에 실행되었으므로 /etc/crontag그럴 가능성도 없습니다.)
• /etc/cron.d/(아마도)
• 이것뿌리-사용자의 crontab 파일(예: /var/spool/cron/crontabs/root다음을 실행하여 가장 잘 액세스할 수 있음)crontab -l뿌리또는 sudo crontab -l -u root. )

타임스탬프 - mysql

파일 history.sql은 최근(9월 19일)이며 아주 일찍 생성되었습니다( 7:07). cron-job에 의해 생성되었을 수도 있습니다(위 참조).

history_2013-08-26.sql.bz2에서 생성 되었습니다8월 30일 21:02;오후 9시는 시스템 관리자가 작업을 수행해야 하는 시간이고 타임스탬프(8월 30일)와 파일 이름(8월 26일)의 차이를 발견한 시간이라고 가정합니다. 파일이 생성되었다고 가정합니다.수동.

누가 파일을 작성했는지 알 수 있는 방법은 여러 가지가 있지만 일반적으로 사전에 모니터링을 설정해야 합니다.

모든 파일은 같은 시간에 생성되므로 해당 시간에 실행되는 일일 크론 작업을 찾아보세요. 이것은 아마도 당신에게 답을 줄 것입니다.

당신이 가지고 있다면BSD 프로세스 회계활성화되면 실행하여 lastcomm파일이 기록될 때 어떤 프로세스가 실행 중인지 확인합니다. 프로세스 계정은 프로세스 실행이 완료된 시점이 아니라 프로세스가 시작된 시점만 추적하므로 이는 어려울 수 있습니다.

다음에 파일이 생성될 때 책임자를 알아내는 방법에는 여러 가지가 있습니다. 한 가지 가능성은감사 하위 시스템:

auditctl -A exit,always -F path=/opt/BACKUP/mongodb.tgz -S open -S rename

또 다른 가능성은inotify. 예를 들어잉크론일하다:

/opt/BACKUP/mongodb.tgz IN_MOVED_TO,IN_CREATE logger $% $@/$#