![프로세스가 시작되고 프로세스에 PID가 할당되면 Linux에서 기록합니까? 이 로그는 어디서 찾을 수 있나요? [복사]](https://linux55.com/image/24202/%ED%94%84%EB%A1%9C%EC%84%B8%EC%8A%A4%EA%B0%80%20%EC%8B%9C%EC%9E%91%EB%90%98%EA%B3%A0%20%ED%94%84%EB%A1%9C%EC%84%B8%EC%8A%A4%EC%97%90%20PID%EA%B0%80%20%ED%95%A0%EB%8B%B9%EB%90%98%EB%A9%B4%20Linux%EC%97%90%EC%84%9C%20%EA%B8%B0%EB%A1%9D%ED%95%A9%EB%8B%88%EA%B9%8C%3F%20%EC%9D%B4%20%EB%A1%9C%EA%B7%B8%EB%8A%94%20%EC%96%B4%EB%94%94%EC%84%9C%20%EC%B0%BE%EC%9D%84%20%EC%88%98%20%EC%9E%88%EB%82%98%EC%9A%94%3F%20%5B%EB%B3%B5%EC%82%AC%5D.png)
Ubuntu 서버가 시작되면 다음 메시지가 표시됩니다 kernel: [11.895392] init: failsafe main process (631) killed by TERM signal. 절차가 어떻게 되는지 알고 싶은데 어디서 봐야할지 모르겠네요. my를 검색하면 syslog프로세스 kernel.log가 시작되고 식별자(PID)가 제공된다는 증거가 없습니다.
시작 메시지(안전 장치 마스터 프로세스가 종료됨...)를 조사하고 싶지만 먼저 다음 질문에 답해야 합니다. 프로세스가 시작될 때 어디에 기록되며 프로세스에 할당된 PID도 기록됩니까?
나중에 참조하기 위해 프로세스가 PID 파일에 기록한다는 것을 알고 있지만 프로세스가 종료되면 이전에 어떤 PID가 있었는지 알 수 있습니까?
답변1
첫째, 메시지에는 이미 프로그램 이름이 포함되어 있습니다.
kernel: [11.895392] init: failsafe main process (631) killed by TERM signal
failsafe이는 pid가 있는 프로그램이 신호를 631수신했음을 의미합니다.TERM
원래 질문에 대답하기 위해 대부분의 Linux 배포판은 기본적으로 생성된 프로세스의 pid를 기록하지 않지만 다음을 사용할 수 있습니다.감사 프레임워크그리고 생성된 모든 프로세스를 기록하는 데 필요한 규칙을 만듭니다.https://www.wzdftpd.net/docs/selinux/audit.html이러한 규칙에 대한 소개가 제공되며 시작하는 데 도움이 됩니다.
답변2
다음을 사용하여 새로 실행된 명령/프로세스를 기록할 수 있습니다.스누피.
간단한 로거가 필요하고 보안/감사 솔루션을 찾고 있지 않다면 Snoopy가 선택이 될 수 있습니다.
공개: 스누피 관리자가 여기에 있습니다.