Ubuntuサーバーが起動すると、次のメッセージが表示されますkernel: [11.895392] init: failsafe main process (631) killed by TERM signal
。手続きがどうなるのか知りたいのですが、どこで見るべきかわかりませんね。 myを検索すると、syslog
プロセスkernel.log
が開始され、識別子(PID)が提供されるという証拠はありません。
スタートアップメッセージ(安全デバイスのマスタープロセスが終了しました...)を調べたいのですが、まず次の質問に答える必要があります。プロセスの開始時にどこに記録され、プロセスに割り当てられたPIDも記録されますか?
後で参照するためにプロセスがPIDファイルに書き込むことを知っていますが、プロセスが終了すると、以前にどのPIDがあったかがわかりますか?
答え1
まず、メッセージにはすでにプログラム名が含まれています。
kernel: [11.895392] init: failsafe main process (631) killed by TERM signal
failsafe
これは、pidを持つプログラムが信号を631
受信したことを意味します。TERM
元の質問に答えるために、ほとんどのLinuxディストリビューションはデフォルトで作成されたプロセスのpidを記録しませんが、次のものを使用できます。監査フレームワークそして、生成されたすべてのプロセスを記録するために必要なルールを作成します。https://www.wzdftpd.net/docs/selinux/audit.htmlこれらのルールの紹介が提供され、始めるのに役立ちます。
答え2
以下を使用して、新しく実行されたコマンド/プロセスを記録できます。スヌーピー。
単純なロガーが必要で、セキュリティ/監査ソリューションを探していない場合は、Snoopyを選択できます。
公開:スヌーピーマネージャーはここにあります。