有没有办法查看谁在linux中查看/访问了文件？

嗨，我是一个linux服务器的noob。 我想知道linux中是否有命令，或者是否有一种方法可以查看哪个“用户”在linux中查看或访问了文件

有这样的命令吗

我认为“stat”命令可能是一个可行的选择，但在谷歌搜索之后，我发现有人在底部发布了：

---

无法查看访问文件的“用户”。这是真的吗？

审计子系统可以告诉您谁或什么访问了文件系统对象。

审计子系统可以告诉您谁或什么访问了文件系统对象。

这些信息根本不存在。想象一下，即使查看一个文件也会导致元数据附加，这会造成多大的开销。这些信息根本不存在。想象一下，即使查看一个文件也会导致元数据附加，这会造成多大的开销。如果有人修改了一个文件，审计子系统不会工作吗？它也可以用于查看/访问文件吗？它可以监视您告诉它的任何操作。哦，我明白了，谢谢。那么，是否有一个命令来查看特定服务器是否安装了审计子系统？例如，uname-a告诉linux服务器的版本。我想知道审计子系统或其他通用子系统是否有类似的命令。不幸的是，没有。您所能做的就是尝试访问它，看看它是否失败。不过，大多数大公司都有它。根据我在谷歌上发现的，它说它必须“auditctl-w/etc/shadow-k shadow file-p rwxa”执行这个命令来查看文件。如果我创建了一个文件，我是否必须执行该命令来监视一个文件，或者如果一个新文件在内核中，审计子系统是否会自动监视它？我觉得我问了你太多关于审计的问题=（.也许我应该通过发表新帖子而不是仅仅发表评论来问另一个问题…好的，谢谢你到目前为止的所有回答XD如果有人修改了文件，审计子系统不工作吗？它是否也可以用于查看/访问文件？它可以监视你告诉它的任何操作。哦，我明白了，谢谢。有命令查看我吗f特定服务器安装了审计子系统？例如，uname-a告诉linux服务器的版本。我想知道是否有类似的命令用于审计子系统或其他一般子系统。不幸的是，没有。你所能做的就是尝试访问它，看看它是否失败。但大多数大型服务器都有。从我在谷歌上发现的情况来看，它是它必须“#auditctl-w/etc/shadow-k shadow file-p rwxa”执行此命令来监视文件。如果我创建了一个文件，我是否必须执行该命令来监视文件，或者如果它在内核中，审计子系统是否会自动监视一个新文件？我觉得我对审计的问题问得太多了=（.也许我应该通过发表新的帖子来问另一个问题，而不仅仅是评论…好的，谢谢你迄今为止的所有回答xD