如何知道哪个用户终止了进程

如何知道哪个用户终止了进程

在 Linux 中是否有办法找出哪个用户或哪个进程杀死了另一个进程?也许是日志?

我搜索过,/var/log并特别搜索过auth.log.*,但没有发现任何有趣的东西。

我认为该进程已被终止,htop但据我所知,它没有保留活动日志。

谢谢

答案1

据我所知,如果不启用某种形式的审计,就不可能找到答案。

这里有一些关于审计控制的有用文档(其他发行版也会发现这很有用):http://doc.opensuse.org/products/draft/SLES/SLES-security_sd_draft/cha.audit.comp.html

具体来说(未经测试):

auditctl -a exit,always -S all

只要审计系统设置正确,就应该会产生预期的效果。

基督教。

相关内容