더 이상 실행되지 않는 일부 포트를 수신하는 프로세스가 있다는 것을 알고 있습니다.
언제 실행이 중지되었는지, 충돌이 발생했는지 또는 프로세스에 대한 기타 정보를 알고 싶습니다.
이를 수행할 수 있는 방법이 있습니까?
답변1
auditd일반적으로 프로세스가 암시적으로 아무것도 기록하지 않거나 일종의 시스템 전체 로깅 솔루션이 배포되지 않은 경우(대부분) 조사할 수 있는 것이 많지 않습니다.
프로세스가 무엇을 달성하려고 하는지 모른다고 가정하면 다음과 같이 할 수 있습니다.
의심스러운 성공 또는 실패 로그인 시도를 찾으려면
last및last -f /var/log/btmp | less또는 를 실행하세요 .faillog/var/log/secure인증과 관련된 단서를 확인하세요 .새로 추가된 작업이 있는지 확인
/var/cron/tab하고 찾습니다. 확인하면 실행 중인 일부 의심스러운 작업을 식별하는 데 도움이 될 수 있습니다. 즉, 다른 폴더에서 추가 작업을 찾도록 구성이 수정되었음을 의미합니다./etc/crontab/var/log/croncronlsmod현재 로드된 의심스러운 커널 모듈을 실행합니다 (dkms status동적으로 로드된 커널 모듈에도 적용됨).
모든 로그 파일을 수동으로 확인하거나 알고 있는 경우 grep을 통해 프로세스 이름을 찾을 수도 있습니다. 예, /var/log/audit혹시 auditd설정되어 실행 중인지 확인해 보세요. 그렇다면 더 많은 정보를 찾아보실 수 있을 것입니다.
어쨌든, 건초 더미에 바늘이 더 많습니다. 무엇이든 찾기 위해 프로세스가 수행하는 작업에 대해 많은 정보를 바탕으로(또는 교육받지 않은) 추측을 해야 합니다.
답변2
이는 거의 전적으로 해당 프로세스와 관련된 프로그램의 로깅 옵션에 따라 달라집니다.
"거의" 프로세스 외부 이유(디스크 공간 부족, 메모리 부족 등)로 인해 시스템이 충돌을 기록해야 하기 때문입니다.