SSHDに送信された信号15のイニシエータを診断する方法

これを行う普遍的なUnix方式はありません。信号自体にはこの情報は渡されません。これは実際のオペレーティングシステムによって異なります。したがって、すでにご存じのように、Linuxでこの問題を見つけるにはカーネルトレースを使用する必要があります。

お客様が決定したトラッキングポイントは最適ではない場合があります。信号が発生する場所ではなく、信号が伝達される位置を見ているのです！したがって、システムコールの入力（信号の送信者が誰であるかを知っているため）と終了（実際に転送されたかどうかを知るため）を追跡するのではなく、signal_deliverシステムコールの入力を追跡できます。kill

たとえする複雑に見えますが、すでにこれを行うツールがあります。
このbpftraceユーティリティには多くの例が含まれています。あなたのLinuxディストリビューションはわかりませんが、bpftraceパッケージをインストールしたときに/usr/share/bpftrace/toolsに便利なトレースユーティリティがたくさん含まれていました。

状況に応じて実行する必要があります（すでに行われている場合はroot削除sudo）：

cd /usr/share/bpftrace/tools  # or whichever place these tools have been installed to
sudo ./killsnoop

欲しいと仮定ただSignal 15を視聴するには、次のようにスクリプトを変更する必要があります。

#!/usr/bin/bpftrace
/*
 * signoop    Trace who issues signal 15 to whom
 * Base on Brendan Gregg's killsnoop, "Trace signals issued by the kill() syscall",

 * USAGE: sigsnoop.bt

 * Copyright 2018 Netflix, Inc.
 * Copyright 2023 Marcus Müller
 * Licensed under the Apache License, Version 2.0 (the "License")
 *
 * 07-Sep-2018  Brendan Gregg   Created this.
 * 23-Apr-2023  Marcus Müller made it worse :)
 */

BEGIN
{
    printf("Tracing signal 15... Hit Ctrl-C to end.\n");
    printf("%-9s %-6s %-16s %-4s %-6s %s\n", "TIME", "PID", "COMM", "SIG",
        "TPID", "RESULT");
}

tracepoint:syscalls:sys_enter_kill
{
    /* here's the relevant part: filter by sig */
  if (args->sig == 15) {
        @tpid[tid] = args->pid;
        @tsig[tid] = args->sig;
    }
}

tracepoint:syscalls:sys_exit_kill
/@tpid[tid]/
{
    time("%H:%M:%S  ");
    printf("%-6d %-16s %-4d %-6d %d\n", pid, comm, @tsig[tid], @tpid[tid],
        args->ret);
    delete(@tpid[tid]);
    delete(@tsig[tid]);
}

として保存し、sigsnoop.bt誰でも実行する権限を付与し（）、chmod 755 sigsnoop.btルートとして実行します（sudo ./signsnoop.bt）。