如何检查我在linux中的进程是如何被杀死的？

Question

我对linux管理非常陌生。我的问题是，有没有任何方法来检查日志文件或任何文件，我的进程如何获得术语信号或被杀死。我们能知道是谁作为管理员杀死了正在运行的进程吗？可能是因为另一个管理员的一些系统更新？

Answer 1

您可以使用审核来审核系统调用以杀死。编辑文件/etc/audit/audit.rules (EL6) (或/etc/audes.d/audit.ules(EL7))并添加以下内容

-a entry,always -F arch=b64 -S kill -k catch_kill

重新启动审计d

service auditd restart

注意:您也需要为EL7重新启动审计d做这件事。

现在，您可以在审计日志中搜索标记为catch_kills的条目。

ausearch -k catch_kills

得到这样一个条目，它可能会告诉你你想知道的事情。

时间->太阳9月4日19:05:54 2016 obj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 type=OBJ_PID msg=audit(1473012354.105:6138)：opid=3151 oauid=1000 ouid=0 oses=619 ocomm=“睡眠”type=SYSCALL msg=audit(1473012354.105:6138)：arch=c000003e syscall=62 success=yes exit=0 a0=c4f a1=f exit=0 exit=0 a1=f arch=c000003e syscall=62 success=yes exit=0 a0=c4f a1=f exit=0 exit=0 a1=f exit=0 exit=0 a1=f arch=c000003e en21 en24 en26 en29 en31 en33#bash/usr/bin/bash en35#

在红帽网站上有大量关于EL审计系统的文档