Отладка процессов. Узнать параметры

1

1

Напомните, плз, какие средства для отладки процессов в GNU/Linux существуют. Задачи такие:

1. Допустим раз в полчаса в системе запускается некий процесс и работает долю секунды, известен исполняемый файл /usr/bin/util1 нужно узнать с какими параметрами он запускается, под каким uid, и кто родительский процесс.

2. Допустим раз в полчаса в системе запускается некий процесс и работает долю секунды, исполняемый файл неизвестен, но известно, что процесс обращается к TCP-сокету 192.168.0.100:12345 нужно узнать исполняемый файл, с какими параметрами он запускается, под каким uid, и кто родительский процесс

Ссылка

←	Перенаправление трафика через туннель

ipv6 neighbor descovery

→

syslog или я не о том думаю?

anonymous
(27.07.21 17:50:28 MSK)

Ответ на: комментарий от anonymous 27.07.21 17:50:28 MSK

вообще не то

sunny1983 ★★★★★
(27.07.21 17:51:03 MSK) автор топика

Ссылка

eBPF/SystemTap. См. execsnoop.
кто делает dns запрос (комментарий)

bigbit ★★★★★
(27.07.21 17:54:43 MSK)

Ссылка

Audit, см: https://blog.selectel.com/auditing-system-events-linux/

anonymous
(28.07.21 00:26:49 MSK)

gdb, strace

Harald ★★★★★
(28.07.21 06:42:04 MSK)

Ссылка

/proc/pid/cmdline

/proc/pid/exe

/proc/pid/status

Пишешь скрипт на питоне за 30 сек и проблема решена.

anonymous
(28.07.21 12:02:39 MSK)

Ответ на: комментарий от anonymous 28.07.21 00:26:49 MSK

я когда гуглил по execsnoop, который выше посоветовали, то тоже наткнулся на audit. Так вот оказывается для чего нужна штука, которую я из системы выпиливаю сразу после установки.

sunny1983 ★★★★★
(28.07.21 12:18:08 MSK) автор топика

Ссылка

Короче мне нужно что-то типа опции «-c» для netstat, но для ps

sunny1983 ★★★★★
(28.07.21 12:59:15 MSK) автор топика

Ответ на: комментарий от sunny1983 28.07.21 12:59:15 MSK

коннекты искать в net/ip_conntrack

anonymous
(28.07.21 18:19:58 MSK)

Ответ на: комментарий от anonymous 28.07.21 18:19:58 MSK

+1

~~Moisha_Liberman~~ ★★
(29.07.21 01:12:23 MSK)

Ссылка

Ответ на: комментарий от anonymous 28.07.21 12:02:39 MSK

То же +1.

Пишешь скрипт на баше за 30 сек и проблема решена.

Поправил, не стоит благодарности.

~~Moisha_Liberman~~ ★★
(29.07.21 01:13:06 MSK)

Ссылка

Ответ на: комментарий от anonymous 28.07.21 12:02:39 MSK

python не знаю, если бы знал, то готовые решения не спрашивал
можно и на bash написать, но боюсь, что скрипт, который будет постоянно дёргать awk, будет работать медленно, и будет не успевать отловить процесс, которй работает долю секунды, это ж по сути мне нужно в режиме реального времени читать /proc/pid/cmdline всех процессов

sunny1983 ★★★★★
(29.07.21 10:00:58 MSK) автор топика

Ответ на: комментарий от sunny1983 29.07.21 10:00:58 MSK

На питоне можно 10 раз в сек проверять дельты /proc. Разницу будет легко заметить, а операция listdir дешевая.

например https://github.com/hakavlad/nohang-extra/blob/master/proc2log

– просто логирует рождение процессов. Можно доработать под задачи.

anonymous
(29.07.21 10:06:11 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Перенаправление трафика через туннель

Admin

ipv6 neighbor descovery

→

+1

То же +1.

Похожие темы