Есть ли способ увидеть обработанные данные, которые завершились или были убиты определенное количество времени назад?
Например, ps -ef покажет все запущенные процессы, но если процесс завершится, он больше не будет возвращен этой командой. Так, например, если бы я хотел увидеть, какие процессы (с их командами) выполнялись час назад, есть ли какая-нибудь команда для этого? Или журнал процессов, которые больше не используются?
Пытаюсь исследовать вспышку час назад и хочу получить как можно больше информации!
Ура
Вы можете найти эту информацию в системном журнале /var/log/syslog и /var/log/messages
В зависимости от того, какой процесс они выполняли, вы сможете найти некоторую информацию об их времени начала и т. Д.
пример:
Feb 1 12:31:21 centos7 NetworkManager[809]: <info> dhclient started with pid 1319
Если вы исследуете использование некоторых ресурсов, вы можете зарегистрировать его, используя pidstat и запишите его в файл журнала.
Также некоторые приложения пишут PID файл, так что в будущем вы также можете зарегистрировать его.
Если у вас ничего не настроено заранее, вы не получите то, что вам нужно, но psacct отслеживает процессы, но вы должны позаботиться о хранилище. Затем вы могли бы использовать lastcomm и всевозможные инструменты, чтобы узнать, что запускается, когда и каким пользователем. Аудит также может быть применен, если у вас есть правильные правила.
Но если вы не настроили эти вещи заранее, если программы не ведут собственное ведение журнала, вы не сможете найти много информации.