Как я могу регистрировать все запуски процессов в Linux?

55

Я хотел бы получить журнал всех процессов, запущенных с момента их запуска, и аргументов, с которыми они были запущены. Возможно ли это в Linux?

Брэндон Дюретт
источник

Ответы:

43

Ваша отправная точка должна быть проверена.

Попробуйте что-то вроде этого:

apt-get install auditd
auditctl -a task,always
ausearch -i -sc execve
Mikel
источник
1
Я получаю сообщение об ошибке. The audit system is disabledГде я могу его включить?
Томбарт
1
одна проблема может быть решена с помощью, chmod 0750 /sbin/audispdно она все еще не работает (Debian Wheezy)
Томбарт
Это говорит, Unable to set audit pid, exitingно я думаю, что реальная проблема будет в том, что система работает в контейнере LXC
Томбарт
Как аудит интегрируется с systemd journald? Их функции перекрываются?
CMCDragonkai
Я попробовал это на живом сервере, и я эффективно убил его, стал почти не отвечает. Мне едва удалось удалить это правило и заставить сервер снова реагировать
Shocker
10

Мне нужно было сделать это, за исключением того, что (1) мне не требовалось время и (2) меня интересовали только процессы, запускаемые данным процессом, его дочерние элементы и последующие потомки. Кроме того, в среде, которую я использовал, было невозможно получить auditdили accton, но было valgrind.

Добавьте следующий префикс к интересующему процессу в командной строке:

valgrind --trace-children=yes

Необходимая информация будет в журнале, отображаемом на STDERR.

Евгений Сергеев
источник
3
По умолчанию valgrind запускается вместе с memcheckинструментом. Чтобы отключить инструмент и связанный с ним ведение журнала, и печатать только создание новых команд (в дополнение к обычному выходу вашей программы), используйте следующую команду вместо: valgrind --tool=none --trace-children=yes [command and args here]. Каждый раз, когда создается подпроцесс, Valgrind будет регистрировать полную команду, включая аргументы, которые ей были переданы.
Роб У
6

Вы можете использовать Snoopy для этого.

Его очень просто установить, и начиная с 2.x он может регистрировать произвольные данные (аргументы, переменные окружения, cwd и т. Д.).

Раскрытие: сопровождающий Snoopy здесь.

Бостян Скуфча
источник
2

Вы можете запустить startmon и следовать его стандартному выводу, Ctrl-C, когда закончите. Вот как можно скомпилировать и запустить startmon в последних дистрибутивах Red Hat (RHEL, Fedora, CentOS):

sudo yum install git cmake gcc-c++
git clone https://github.com/pturmel/startmon
cd startmon
cmake .
make
sudo ./startmon -e

В Debian (и Ubuntu и т. Д.) Первая строка приведенного выше изменяется на:

sudo apt-get install git cmake g++

В качестве альтернативы вы можете попробовать execsnoopскрипт в perf-tools, см. Этот ответ . По умолчанию отображаются только первые 8 аргументов (9, включая имя программы); Вы можете увеличить это через

sudo ./execsnoop -a 16

Если у вас нет root-доступа к системе, лучшее, что вы можете сделать, это продолжать опрашивать /procи надеяться, что он перехватит все (чего не будет), но для полноты приведем скрипт для этого (я поставил duplicate-Removal для упрощения вывода) - хотя это не так хорошо, как правильное отслеживание их с помощью одного из вышеперечисленных методов, у него есть небольшое преимущество однозначного отображения разделителей между аргументами командной строки, на случай, если вам когда-нибудь понадобится сообщить разница между пробелами внутри аргумента и пробелом между аргументами. Этот скрипт неэффективен, так как он использует процессор (ну, одно из его ядер) 100% времени.

function pstail () { python -c 'import os
last=set(os.listdir("/proc")) ; o=x=""
while True:
 pids=set(os.listdir("/proc"))
 new=pids.difference(last);last=pids
 for n in new:
  try: o,x=x,[j for j in open("/proc/"+n+"/cmdline")
    .read().split(chr(0)) if j]
  except IOError: pass
  if x and not o==x: print n,x' ; }

pstail

Вы также можете execsnoopустановить патч, чтобы более четко указать, какой аргумент какой:grep -v sub.*arg < execsnoop > n && chmod +x n && mv n execsnoop

Сайлас С. Браун
источник
1

CONFIG_FTRACEи CONFIG_KPROBESчерезbrendangregg/perf-tools

git clone https://github.com/brendangregg/perf-tools.git
cd perf-tools
git checkout 98d42a2a1493d2d1c651a5c396e015d4f082eb20
sudo ./execsnoop

На другой оболочке:

while true; do sleep 1; date; done

Первая оболочка показывает данные формата:

Tracing exec()s. Ctrl-C to end.                                                        
Instrumenting sys_execve                                                               
   PID   PPID ARGS 
 20109   4336 date                                                                                       
 20110   4336 sleep 1                                                                                    
 20111   4336 date                                                                                                                                                                                                 
 20112   4336 sleep 1                                                                                    
 20113   4336 date                                                                                       
 20114   4336 sleep 1                                                                                    
 20115   4336 date                                                                                       
 20116   4336 sleep 1

CONFIG_PROC_EVENTS

Пример сеанса:

$ su
# ./proc_events &
# /proc_events.out &
set mcast listen ok
# sleep 2 & sleep 1 &
fork: parent tid=48 pid=48 -> child tid=56 pid=56
fork: parent tid=48 pid=48 -> child tid=57 pid=57
exec: tid=57 pid=57
exec: tid=56 pid=56
exit: tid=57 pid=57 exit_code=0
exit: tid=56 pid=56 exit_code=0

CONFIG_PROC_EVENTSвыставляет события в userland через сокет netlink .

proc_events.c адаптирован из: https://bewareofgeek.livejournal.com/2945.html

#define _XOPEN_SOURCE 700
#include <sys/socket.h>
#include <linux/netlink.h>
#include <linux/connector.h>
#include <linux/cn_proc.h>
#include <signal.h>
#include <errno.h>
#include <stdbool.h>
#include <unistd.h>
#include <string.h>
#include <stdlib.h>
#include <stdio.h>

static volatile bool need_exit = false;

static int nl_connect()
{
    int rc;
    int nl_sock;
    struct sockaddr_nl sa_nl;

    nl_sock = socket(PF_NETLINK, SOCK_DGRAM, NETLINK_CONNECTOR);
    if (nl_sock == -1) {
        perror("socket");
        return -1;
    }
    sa_nl.nl_family = AF_NETLINK;
    sa_nl.nl_groups = CN_IDX_PROC;
    sa_nl.nl_pid = getpid();
    rc = bind(nl_sock, (struct sockaddr *)&sa_nl, sizeof(sa_nl));
    if (rc == -1) {
        perror("bind");
        close(nl_sock);
        return -1;
    }
    return nl_sock;
}

static int set_proc_ev_listen(int nl_sock, bool enable)
{
    int rc;
    struct __attribute__ ((aligned(NLMSG_ALIGNTO))) {
        struct nlmsghdr nl_hdr;
        struct __attribute__ ((__packed__)) {
            struct cn_msg cn_msg;
            enum proc_cn_mcast_op cn_mcast;
        };
    } nlcn_msg;

    memset(&nlcn_msg, 0, sizeof(nlcn_msg));
    nlcn_msg.nl_hdr.nlmsg_len = sizeof(nlcn_msg);
    nlcn_msg.nl_hdr.nlmsg_pid = getpid();
    nlcn_msg.nl_hdr.nlmsg_type = NLMSG_DONE;

    nlcn_msg.cn_msg.id.idx = CN_IDX_PROC;
    nlcn_msg.cn_msg.id.val = CN_VAL_PROC;
    nlcn_msg.cn_msg.len = sizeof(enum proc_cn_mcast_op);

    nlcn_msg.cn_mcast = enable ? PROC_CN_MCAST_LISTEN : PROC_CN_MCAST_IGNORE;

    rc = send(nl_sock, &nlcn_msg, sizeof(nlcn_msg), 0);
    if (rc == -1) {
        perror("netlink send");
        return -1;
    }

    return 0;
}

static int handle_proc_ev(int nl_sock)
{
    int rc;
    struct __attribute__ ((aligned(NLMSG_ALIGNTO))) {
        struct nlmsghdr nl_hdr;
        struct __attribute__ ((__packed__)) {
            struct cn_msg cn_msg;
            struct proc_event proc_ev;
        };
    } nlcn_msg;
    while (!need_exit) {
        rc = recv(nl_sock, &nlcn_msg, sizeof(nlcn_msg), 0);
        if (rc == 0) {
            /* shutdown? */
            return 0;
        } else if (rc == -1) {
            if (errno == EINTR) continue;
            perror("netlink recv");
            return -1;
        }
        switch (nlcn_msg.proc_ev.what) {
            case PROC_EVENT_NONE:
                printf("set mcast listen ok\n");
                break;
            case PROC_EVENT_FORK:
                printf("fork: parent tid=%d pid=%d -> child tid=%d pid=%d\n",
                        nlcn_msg.proc_ev.event_data.fork.parent_pid,
                        nlcn_msg.proc_ev.event_data.fork.parent_tgid,
                        nlcn_msg.proc_ev.event_data.fork.child_pid,
                        nlcn_msg.proc_ev.event_data.fork.child_tgid);
                break;
            case PROC_EVENT_EXEC:
                printf("exec: tid=%d pid=%d\n",
                        nlcn_msg.proc_ev.event_data.exec.process_pid,
                        nlcn_msg.proc_ev.event_data.exec.process_tgid);
                break;
            case PROC_EVENT_UID:
                printf("uid change: tid=%d pid=%d from %d to %d\n",
                        nlcn_msg.proc_ev.event_data.id.process_pid,
                        nlcn_msg.proc_ev.event_data.id.process_tgid,
                        nlcn_msg.proc_ev.event_data.id.r.ruid,
                        nlcn_msg.proc_ev.event_data.id.e.euid);
                break;
            case PROC_EVENT_GID:
                printf("gid change: tid=%d pid=%d from %d to %d\n",
                        nlcn_msg.proc_ev.event_data.id.process_pid,
                        nlcn_msg.proc_ev.event_data.id.process_tgid,
                        nlcn_msg.proc_ev.event_data.id.r.rgid,
                        nlcn_msg.proc_ev.event_data.id.e.egid);
                break;
            case PROC_EVENT_EXIT:
                printf("exit: tid=%d pid=%d exit_code=%d\n",
                        nlcn_msg.proc_ev.event_data.exit.process_pid,
                        nlcn_msg.proc_ev.event_data.exit.process_tgid,
                        nlcn_msg.proc_ev.event_data.exit.exit_code);
                break;
            default:
                printf("unhandled proc event\n");
                break;
        }
    }

    return 0;
}

static void on_sigint(__attribute__ ((unused)) int unused)
{
    need_exit = true;
}

int main()
{
    int nl_sock;
    int rc = EXIT_SUCCESS;

    signal(SIGINT, &on_sigint);
    siginterrupt(SIGINT, true);
    nl_sock = nl_connect();
    if (nl_sock == -1)
        exit(EXIT_FAILURE);
    rc = set_proc_ev_listen(nl_sock, true);
    if (rc == -1) {
        rc = EXIT_FAILURE;
        goto out;
    }
    rc = handle_proc_ev(nl_sock);
    if (rc == -1) {
        rc = EXIT_FAILURE;
        goto out;
    }
    set_proc_ev_listen(nl_sock, false);
out:
    close(nl_sock);
    exit(rc);
}

GitHub upsatream .

Однако я не думаю, что вы можете получить данные процесса, такие как UID и аргументы процесса, потому что они exec_proc_eventсодержат так мало данных: https://github.com/torvalds/linux/blob/v4.16/include/uapi/linux/cn_proc .h # L80 Мы могли бы попытаться немедленно прочитать его /proc, но есть риск, что процесс завершится, и другой получит свой PID, поэтому он не будет надежным.

Протестировано в Ubuntu 17.10.

Ciro Santilli 新疆 改造 中心 法轮功 六四 事件
источник
0

Также вы можете использовать поверх для просмотра использования ресурсов процессами. Это полезные инструменты для регистрации и анализа использования ресурсов в каждой части времени

Quarind
источник
-3

Вы можете попробовать cat ~/.bash_history Есть system log viewer, это может помочь вам.

Kracekumar
источник
1
~/.bash_historyочевидно, содержит только те команды, которые я выполнил в терминале. Я ищу журнал всех выполненных программ, например, когда я щелкаю значок, чтобы открыть мой почтовый клиент, gedit или открываю свой браузер, и мой браузер выполняет другой процесс сам по себе. Ответ new123456 сделал свое дело.
Runeks
1
Давайте также добавим, что команда historyявляется обычным способом доступа к этой информации.
Брин