私はもう実行されていないいくつかのポートをリッスンするプロセスがあることを知っています。
いつ実行が停止したか、競合が発生したか、プロセスに関するその他の情報を知りたいです。
これを行う方法はありますか?
ベストアンサー1
auditd
一般に、プロセスが暗黙的に何も記録していない場合、またはシステム全体のロギングソリューションの一種が展開されていない場合(ほとんど)、調査できるものはあまりありません。
プロセスが何を達成しようとしているのかわからないと仮定すると、次のようになります。
疑わしい成功または失敗のログイン試行を見つけるには、
last
またはlast -f /var/log/btmp | less
を実行します。faillog
/var/log/secure
認証に関する手がかりを確認してください。新しく追加されたタスクがあることを確認して
/var/cron/tab
探します。確認すると、実行中の疑わしいタスクを特定するのに役立ちます。つまり、別のフォルダで追加のタスクを見つけるように構成が変更されたことを意味します。/etc/crontab
/var/log/cron
cron
lsmod
現在ロードされている疑わしいカーネルモジュールを実行します(dkms status
動的にロードされたカーネルモジュールにも適用されます)。
すべてのログファイルを手動で確認または認識している場合は、grepを介してプロセス名を見つけることもできます。はい、設定されて/var/log/audit
いauditd
て実行していることを確認してください。そうすれば、より多くの情報を見つけることができます。
とにかく、干し草の山に針がたくさんあります。何かを見つけるためにプロセスが何をしているのかについて、多くの情報に基づいて(または教育されていない)推測をする必要があります。