在 Linux 中是否有办法找出哪个用户或哪个进程杀死了另一个进程?也许是日志?
我搜索过,/var/log
并特别搜索过auth.log.*
,但没有发现任何有趣的东西。
我认为该进程已被终止,htop
但据我所知,它没有保留活动日志。
谢谢
答案1
据我所知,如果不启用某种形式的审计,就不可能找到答案。
这里有一些关于审计控制的有用文档(其他发行版也会发现这很有用):http://doc.opensuse.org/products/draft/SLES/SLES-security_sd_draft/cha.audit.comp.html
具体来说(未经测试):
auditctl -a exit,always -S all
只要审计系统设置正确,就应该会产生预期的效果。
基督教。