我想读取已退出进程的进程元数据。
假设我运行了一个命令some-bash-command并且它退出了。几个小时后,在另一个 shell 中,我想获取该进程的元数据,因为我有它的 PID。
我希望能够检查:
- 开始时间
- 启动它的用户
- 当它退出时,以及总运行时间
- 执行的文件夹? (这并不是完全必要的)。
如果可能的话,有人可以向我指出可以了解更多信息的资源吗?我想通过使用内置命令或直接从“某个地方”读取来解决这个问题(我不确定在哪里?/proc?)
我发现已退出的进程未在 中列出/proc/$PID,因此是否无法获取该进程的元数据?
答案1
为此,您需要预先激活audit守护进程并设置应记录的内容。
事后你看不到任何关于过去过程的信息。