](https://linux22.com/image/177183/%E5%A6%82%E4%BD%95%E8%8E%B7%E5%BE%97%E8%BF%99%E4%B8%AA%E5%88%97%E8%A1%A8%EF%BC%9F%E4%B8%8D%E8%A6%81%E9%94%99%E8%BF%87%E4%BB%BB%E4%BD%95%5BPID%5D%EF%BC%88%E8%BF%90%E8%A1%8C%E5%92%8C%E7%BB%93%E6%9D%9F%EF%BC%89.png)
如何得到这个列表(表)?从打开电脑到现在。 不要错过任何[PID](仍在运行[PID],已经结束[PID])。
列表字段:PPID、PID、线程、用户、开始时间、更改时间、结束时间、完整命令
之中:
- [开始时间]:进程的开始时间
- [Change-time]:工艺变更时间。当[PPID]或[完整命令]改变时
- [结束时间]:该流程的结束时间。
答案1
你最好使用像auditd这样的东西,它会挂接到每个系统调用中。使用 ps 或实际上使用 proc 文件系统的任何东西的问题是可能会错过一些东西,特别是如果这些东西(或其用户)实际上想要被错过并且实际上不可见。
proc 文件系统是进程的时间点视图。事实上,它是几个时间点,因为具有较大 PID 的进程的扫描时间略晚于具有较小 PID 的进程。