プロセスが開始され、プロセスにPIDが割り当てられた場合、Linuxは記録しますか?このログはどこにありますか? [コピー]

プロセスが開始され、プロセスにPIDが割り当てられた場合、Linuxは記録しますか?このログはどこにありますか? [コピー]

Ubuntuサーバーが起動すると、次のメッセージが表示されますkernel: [11.895392] init: failsafe main process (631) killed by TERM signal。手続きがどうなるのか知りたいのですが、どこで見るべきかわかりませんね。 myを検索すると、syslogプロセスkernel.logが開始され、識別子(PID)が提供されるという証拠はありません。

スタートアップメッセージ(安全デバイスのマスタープロセスが終了しました...)を調べたいのですが、まず次の質問に答える必要があります。プロセスの開始時にどこに記録され、プロセスに割り当てられたPIDも記録されますか?

後で参照するためにプロセスがPIDファイルに書き込むことを知っていますが、プロセスが終了すると、以前にどのPIDがあったかがわかりますか?

答え1

まず、メッセージにはすでにプログラム名が含まれています。

kernel: [11.895392] init: failsafe main process (631) killed by TERM signal

failsafeこれは、pidを持つプログラムが信号を631受信したことを意味します。TERM

元の質問に答えるために、ほとんどのLinuxディストリビューションはデフォルトで作成されたプロセスのpidを記録しませんが、次のものを使用できます。監査フレームワークそして、生成されたすべてのプロセスを記録するために必要なルールを作成します。https://www.wzdftpd.net/docs/selinux/audit.htmlこれらのルールの紹介が提供され、始めるのに役立ちます。

答え2

以下を使用して、新しく実行されたコマンド/プロセスを記録できます。スヌーピー

単純なロガーが必要で、セキュリティ/監査ソリューションを探していない場合は、Snoopyを選択できます。

公開:スヌーピーマネージャーはここにあります。

関連情報