我知道有一个进程正在侦听某个不再运行的端口。
我想知道它何时停止运行、是否崩溃或有关该进程的任何其他信息。
有没有办法做到这一点?
答案1
auditd
一般来说,如果进程没有隐式记录任何内容或者未部署某种系统范围的日志记录解决方案(最有可能),则您可以调查的内容不多。
假设您不知道该过程试图完成什么,您可以做的是:
运行
last
和last -f /var/log/btmp | less
或faillog
来查找可疑的成功或失败的登录尝试。检查
/var/log/secure
任何与身份验证相关的线索检查
/var/cron/tab
并/etc/crontab
查找任何新添加的作业(如果有)(检查还/var/log/cron
有助于识别正在运行的一些可疑作业,这意味着配置cron
已修改为在其他文件夹中查找额外作业)运行
lsmod
当前加载的任何可疑内核模块(也dkms status
适用于动态加载的内核模块)
您还可以手动检查所有日志文件或通过 grep 查找进程名称(如果您知道的话)。是的,检查/var/log/audit
以防万一auditd
已设置并运行。如果是这样,您可能会找到更多信息。
不管怎样,更多的是大海捞针。您应该对该过程正在做什么进行大量有根据的(或没有受过如此教育的)猜测才能找到任何东西。
答案2
这几乎完全取决于与所述过程相关的程序的日志记录选项。
“几乎”是因为系统应该记录进程外部原因导致的崩溃(磁盘空间不足、内存不足等)