Чтобы определить, какой процесс или пользователь записывает данные в файл в Linux без использования логов, можно воспользоваться утилитой lsof или инструментом inotifywait из пакета inotify-tools.

lsof — показывает, какие процессы открыли файл:

lsof /путь/к/файлу

Это покажет список процессов, которые в данный момент имеют открытый файл.

inotifywait — позволяет следить за событиями в файловой системе, например, за записью в файл:

inotifywait -m -e modify /путь/к/файлу

В другом терминале можно запускать команды, и при изменении файла вы увидите событие. После этого можно снова использовать lsof или ps для определения процесса.

auditd — если доступен, можно настроить аудит на файл, чтобы отслеживать операции записи, но это уже ближе к логам.

Таким образом, сочетание inotifywait для обнаружения момента записи и lsof для определения процесса — эффективный способ без использования системных журналов.

Каким образом можно определить, какой процесс или пользователь записывает данные в файл в системе Linux, не используя журналы логов?