Surveillez l'utilisation et l'accès au système de fichiers Mac OS X avec opensnoop

opensnoop-mac-filesystem-accès

L'utilitaire opensnoop est un outil génial pour rechercher des informations spécifiques sur les fichiers auxquels des applications spécifiques accèdent, mais vous pouvez également utiliser opensnoop pour surveiller tous les accès au système de fichiers sous Mac OS X. Pour ce faire, exécutez l'utilitaire sans fanion:

sudo opensnoop

On vous demandera votre mot de passe root, et vous recevrez immédiatement un firehose de données montrant tout ce qui se passe dans Mac OS X.

Vous vous demandez quelle est cette information que vous voyez? Le guide colorisé ci-dessous vous montre ce qui vous intéresse le plus: Violet est l'identifiant du processus, Bleu est le nom du processus et Rouge est le chemin du fichier:

lecture-opensnoop-data

Généralement, l'information la plus utile à suivre est le nom du processus et le chemin vers le fichier auquel le processus donné accède. Vous trouverez une correspondance à quels processus sont affichés dans opensnoop avec ce qui est dans le moniteur d'activité / gestionnaire de tâches.

Vous pouvez également suivre un fichier spécifique et découvrir ce qui y accède avec:

sudo opensnoop -f /path/to/file

Ou vous pouvez suivre tout ce qui concerne un fichier ou une application spécifique en utilisant grep. Par exemple, je veux suivre tout ce qui concerne l'application Terminal ou les fichiers qui y sont liés:

sudo opensnoop | grep Terminal

Nous vous l'avons déjà montré, mais vous pouvez également suivre des applications spécifiques avec leur identifiant de processus ou leur nom d'application:

sudo opensnoop -n Terminal

A moins que vous ne résolviez des problèmes très vagues ou que vous souhaitiez simplement voir ce qui se passe derrière Mac OS X via la ligne de commande, il est conseillé d'utiliser opensnoop avec certaines spécificités pour ne pas être submergé d'informations.