ネットワーク上のヘッドレスシステムの1つが、別のシステムのVNCポートをポーリングし続けることを発見しました。私の問題は、接続ポートを見て(tcpdumpを使用して)プロセスファインダーを使用しようとすると、netstat -anp|grep PORTプロセスが終了して何も見つからないことです(プロセスが1ミリ秒未満の間生きているようです)。
プロセス名とPIDを報告するtcpdumpに似たものはありますか?それとも、プログラムをキャプチャするためにstraceを実行する賢い方法がありますか?
ベストアンサー1
auditctlを試してください。役に立ちます。次のルールを有効にするとシステムが超過する可能性があるため、フォームのデバッグのみを使用してください。
auditctl -a exit,always -S execve