我需要使用命令行参数记录进程启动事件。ps au 可以打印当前正在运行的进程的命令行。execsnoop 可以打印进程启动事件的日志,但它只打印进程名称。
我怎样才能让 execsnoop 日志中包含命令行参数?
ps 一定有某种方法可以通过为 dtrace 编写 D 脚本来实现这一点,但我的技能还不够 :(
答案1
我相信这应该适用于一定数量的论点:sudo dtrace /usr/bin/newproc.d
您需要关闭系统完整性保护才能使其正常运行。
如何在 execsnoop 中获取进程命令行参数