Как «отслеживать» вновь созданные процессы?

Я знаю, что с ps я вижу список или дерево текущих процессов, запущенных в системе. Но я хочу добиться того, чтобы «следить» за новыми процессами, которые создаются при использовании компьютера.

В качестве аналогии, когда вы используете tail -f чтобы следить за новым содержимым, прикрепленным к файлу или любому входу, я хочу сохранить следующий список процесса, который в настоящее время создается.

Это даже возможно?

  • Как я могу убить мой обработанный процесс yes?
  • Зачем настраивать размер основного файла?
  • Loginuid, должно быть разрешено изменять или нет (изменено или нет)?
  • Как сделать pgrep первым аргументом командной строки?
  • Systemcrash suexec forkbomb.sh ulimits
  • Какова лучшая стратегия, чтобы поймать тайный процесс?
  • Проверьте, открыт ли файл другим процессом
  • Какой самый простой способ определить, какие сигналы отправляются процессу?
  • 3 Solutions collect form web for “Как «отслеживать» вновь созданные процессы?”

    Если kprobes включены в ядро, вы можете использовать execsnoop из perf-tools :

    В первом терминале:

     % while true; do uptime; sleep 1; done 

    В другом терминале:

     % git clone https://github.com/brendangregg/perf-tools.git % cd perf-tools % sudo ./execsnoop Tracing exec()s. Ctrl-C to end. Instrumenting sys_execve PID PPID ARGS 83939 83937 cat -v trace_pipe 83938 83934 gawk -vo=1 -v opt_name=0 -v name= -v opt_duration=0 [...] 83940 76640 uptime 83941 76640 sleep 1 83942 76640 uptime 83943 76640 sleep 1 83944 76640 uptime 83945 76640 sleep 1 ^C Ending tracing... 

    Самый простой способ – включить аудит системных вызовов

    Дополнительную информацию см. В следующей ссылке:

    https://serverfault.com/questions/199654/does-anyone-know-a-simple-way-to-monitor-root-process-spawn

    Если вы контролируете все процессы, просто удалите часть -F uid=0

    Журналы записываются в /var/log/audit/audit.log

    По-видимому, вы можете следовать процессу, используя strace . Если вы знаете PID процесса, вы можете сделать следующее:

     strace -o strace-<pid>.out -f -p <pid> 

    Обратите внимание на ключ -f . Это поможет вам следить за вновь созданными процессами, которые являются потомками процесса, PID которого использовался в команде выше. Для получения информации о strace см. Этот вопрос.

    Interesting Posts

    Как определить, смонтировано ли монтирование NFS как v3 или v4?

    Какую командную строку использовать для настройки функции «Запуск в терминале» Double Commander для использования терминала XFCE?

    Как загрузить xenomai на ubuntu 10.04?

    Ошибка сценария загрузки chkconfig, сценарий работает хорошо вручную

    Как связать разные (несовместимые) библиотеки во время выполнения в зависимости от программы?

    Объединить строки по первому столбцу с помощью awk или sed

    Попытка сделать псевдонимы, которые открывают последний измененный файл

    Debian: как сравнивать и вычислять отпечатки пальцев отдельного пакета?

    удалить содержимое с начала на первую пустую строку

    Как реагировать в подсказке с использованием канала exec JSch

    Я хочу сценарий, который будет брать несколько номеров столбцов от пользователя и отменить содержимое

    Время измерения в скрипте

    Команда Awk для установки указаний по имени пользователя

    emacs: распознавание линии shebang

    Информация о поклоннике ноутбука

    Linux и Unix - лучшая ОС в мире.