当我的 Ubuntu 服务器启动时,我看到一条消息:kernel: [11.895392] init: failsafe main process (631) killed by TERM signal。我想知道这是什么过程,但我不知道去哪里查看。当我搜索 my syslogand时kernel.log,我没有看到任何进程启动并被赋予标识符 (PID) 的证据。
我想调查我的启动消息(故障安全主进程被杀死...),但首先,我需要回答这个问题:当进程启动时,该进程在哪里记录,分配给它的 PID 也被记录?
我知道进程会写入一个PID文件以供稍后参考,但是一旦进程被杀死,我可以找出它曾经有什么PID吗?
答案1
首先,您的消息已经包含程序名称:
kernel: [11.895392] init: failsafe main process (631) killed by TERM signal
failsafe这意味着具有pid的程序631收到了TERM信号。
要回答您最初的问题,大多数 Linux 发行版默认情况下不会记录创建的进程的 pid,但您可以使用审计框架并创建必要的规则来记录所有创建的进程。https://www.wzdftpd.net/docs/selinux/audit.html提供了这些规则的介绍,应该可以帮助您入门。