如何找出进程当前正在写入哪个文件

Question 1

如果您在进程挂起时将 strace 附加到该进程（您可以获取 pid 并在备用终端中提前将命令排队），它将显示阻塞写入的文件描述符。

简单的例子：

$ mkfifo tmp
$ cat /dev/urandom > tmp &
[1] 636226
  # this will block on open until someone opens for reading

$ exec 4<tmp
  # now it should be blocked trying to write

$ strace -p 636226
Process 636226 attached - interrupt to quit
write(1, "L!\f\335\330\27\374\360\212\244c\326\0\356j\374`\310C\30Z\362W\307\365Rv\244?o\225N"..., 4096 <unfinished ...>
^C
Process 636226 detached

Answer

如果您在进程挂起时将 strace 附加到该进程（您可以获取 pid 并在备用终端中提前将命令排队），它将显示阻塞写入的文件描述符。

简单的例子：

$ mkfifo tmp
$ cat /dev/urandom > tmp &
[1] 636226
  # this will block on open until someone opens for reading

$ exec 4<tmp
  # now it should be blocked trying to write

$ strace -p 636226
Process 636226 attached - interrupt to quit
write(1, "L!\f\335\330\27\374\360\212\244c\326\0\356j\374`\310C\30Z\362W\307\365Rv\244?o\225N"..., 4096 <unfinished ...>
^C
Process 636226 detached

Question 2

如果你有 root 访问权限，我认为最好的工具是审计子系统。关于它的文献不多（但多于关于 Loggedfs 的文献）；你可以从本教程或者A 很少例子或者只是与auditctl手册页。在这里，确保守护进程已启动就足够了，然后auditctl以 root 身份运行：

auditctl -a exit,always -F pid=1234 -F dir=/home/philipp

/var/log/audit/audit.log每次 pid 1234 的进程在下写入某处时，这都会写入日志/home/philipp。开销相当小，比strace.

Answer

如果你有 root 访问权限，我认为最好的工具是审计子系统。关于它的文献不多（但多于关于 Loggedfs 的文献）；你可以从本教程或者A 很少例子或者只是与auditctl手册页。在这里，确保守护进程已启动就足够了，然后auditctl以 root 身份运行：

auditctl -a exit,always -F pid=1234 -F dir=/home/philipp

/var/log/audit/audit.log每次 pid 1234 的进程在下写入某处时，这都会写入日志/home/philipp。开销相当小，比strace.

如何找出进程当前正在写入哪个文件

答案1

答案2

相关内容