Comment faire pour identifier le Processus de Démon est écrit dans le fichier

J'ai besoin d'identifier un processus démon qui est écrit dans un fichier journal régulièrement. Le problème est que je n'ai pas la moindre idée du processus qui est en train de faire le travail, et j'ai besoin de montrer des progrès pour le client d'ici demain. Quelqu'un a la moindre idée?

J'ai déjà trié sur le démon processus en cours d'exécution dans le système à l'aide de la PPID. Toute aide serait appréciée.

Aussi je pense que c'est possible (rarement) pour un démon de ne pas avoir de PPID 1. Comment peut-on la trouver?

OriginalL'auteur Raj Das Gupta | 2012-01-23

  1. 7

    Essayer le unité de fusion commande sur votre fichier de log, qui permet d'afficher le Pid des processus de l'utiliser.

    Exemple:

    $ fuser file.log
file.log:  3065
    Mais n'est-ce pas valide seulement si le processus continue l'ouverture de fichier? Que faire si le processus ne s'ouvre pas le fichier au moment de l'écriture des données?
    Si vous ne savez pas quand le processus écrit pour le journal, vous pouvez utiliser watch pour exécuter fuser périodiquement. par exemple,watch fuser file.log.
    cela pourrait être possible, ok.. je vais essayer. Le problème est que je n'ai pas de droits d'écriture, tant cant rediriger la sortie de la montre de n'importe quel fichier. Permet de voir ce qui peut être fait. Merci beaucoup les gars.
    dogbane les commentaires sont bonne mais la montre ne fonctionne pas dans toutes les implémentations UNIX. Ce exact OS parlons-nous?
    Si vous n'avez pas watch, vous pouvez appeler fuser dans un while boucle.

    OriginalL'auteur dogbane

  2. 4

    lsof donne une liste de fichiers ouverts par le processus.
    Donc lsof | grep <filename> devrait vous aider.

    apparemment lsof n'est pas disponible dans le système de mon client est installé. Solaris 8.

    OriginalL'auteur dgw

  3. 2

    Vous pouvez utiliser auditctl. 

    # sudo apt-get install auditd
# sudo /sbin/auditctl -w /path/to/file  -p war -k hosts-file
-w watch /etc/hosts
-p warx watch for write, attribute change, execute or read events
-k hosts-file is a search key.
# sudo /sbin/ausearch -f /path/to/file | more

    Donne en sortie

    type=INCONNU[1327] msg=vérification(1459766547.822:130): proctitle=2F7573722F7362696E2F61706163686532002D6B007374617274
    type=CHEMIN msg=vérification(1459766547.822:130): item=0 name="/chemin/vers/fichier" inode=141561 dev=08:00 mode=0100444 ouid=33 ogid=33 rdev=00:00 nametype=NORMAL
    type=MDC msg=vérification(1459766547.822:130): cwd="/"
    type=SYSCALL msg=vérification(1459766547.822:130): arch=c000003e syscall=2 succès=oui sortie=41 a0=7f3c23034cd0 a1=80000 a2=1b6 a3=8=1 ppid=24452 pid=6797 auid=42949672
    95 uid=33 gid=33 euid=33 suid=33 fsuid=33 gid=33 sgid=33 id de groupe=33 ats=(none) ses=4294967295 comm="apache2" exe="/usr/sbin/apache2" key="hôtes-fichier"

    sudo /sbin/auditctl -D pour désactiver cette fonction.
    C'est l'un! Apparemment, lsof et fuser va prendre une éternité pour tomber sur l'ouverture du fichier, même dans une boucle while si le fichier est écrit en très courtes rafales.

    OriginalL'auteur David Okwii