Eu tenho um acesso ssh de superusuário a uma caixa ubuntu 14.10 de terceiros com configuração incorreta: algum processo cria muitos arquivos temporários em um diretório (e não os limpa, esgotando o limite de inode lentamente). Existe alguma maneira fácil de descobrir qual processo exatamente está criando os arquivos? Presumo que apenas um processo adiciona arquivos a esse diretório e, inicialmente, o diretório está vazio (posso limpá-lo). Claro que posso especular que é algum processo nginx executando código PHP ou algum daemon Python - mas saber com certeza me poupará muito tempo.
Se o processo ainda estiver em execução e ainda tiver o arquivo aberto, "lsof" informará o ID do processo. Se for mais transitório, você pode usar o inotify para permitir que você "ataque" um arquivo que acabou de ser criado: este conjunto de ferramentas tem algumas coisas do espaço do usuário que você pode agrupar no script de shell e alguns exemplos decentes.
Acredito que você tenha tentado procurar nos arquivos - quem sabe quais pistas podem estar lá?
Ou, você pode usar fatrace - útil encontrado pelo questionador original - bem tocado! Parece envolver a funcionalidade do tipo inotify/lsof, o que é útil.