如何知道誰訪問了文件或文件是否在 linux 中具有“訪問”監視器

我對查看誰訪問了文件有一些疑問。

我發現有一些方法可以通過審計子系統和 inotify 查看文件是否被訪問（未修改/更改）。

但是，根據我在網上閱讀的內容，根據此處： http ://www.cyberciti.biz/tips/linux-audit-files-to-see-who-made-changes-to-a-file.html

它對“監視/監視”文件說，我必須使用以下命令設置監視：

# auditctl -w /etc/passwd -p war -k password-file

因此，如果我創建一個新文件或目錄，我是否必須使用 audit/inotify 命令來“設置”觀察首先“觀察”誰訪問了新文件？

還有一種方法可以知道目錄是否通過審計子系統或 inotify 被“監視”？如何/在哪裡可以檢查文件的日誌？

編輯：

通過進一步的Google搜尋，我發現這個頁面說： http ://www.kernel.org/doc/man-pages/online/pages/man7/inotify.7.html

inotify API 不提供有關觸發 inotify 事件的使用者或程序的資訊。

所以我想這意味著我無法弄清楚哪個使用者訪問了文件？只有審計子系統可以用來找出誰訪問了一個文件？

來自審計子系統的日誌基於路徑。即使該文件不存在，您也可以監視文件名。如果文件被創建和訪問，您將獲得日誌條目。

來自的所有日誌auditd都保存在一個文件中（通常/var/log/audit/auditd.log）。

您可以使用 列出審核規則auditctl -l。

引用自：https://unix.stackexchange.com/questions/35651