Unix / Linux command to see finished or killed processes
Is there a way to see processed that finished running or were killed a given amount of time ago?
For instance, ps -ef will show all running processes, but if a process finishes, it is no longer returned by this command. So for instance if I wanted to see what processes (with their commands) were running an hour ago, is there any command to do that? Or a log of processes no longer in use?
Trying to investigate a blip an hour ago and would like as much information as possible!
Cheers
Эту информацию можно найти в системном журнале.
/var/log/syslog и /var/log/messages
В зависимости от того, каким процессом они занимались, вы можете найти некоторую информацию об их времени начала и т.д.
ex:
Feb 1 12:31:21 centos7 NetworkManager[809]: <info> dhclient started with pid 1319
Если вы исследуете некоторое использование ресурсов, вы можете записать его в журнал, используя pidstat и записать в лог-файл.
Также некоторые приложения записывают PID файл, так что в будущем вы также можете записать его в журнал.
Если вы не настроили все заранее, вы не получите то, что вам нужно, но psacct отслеживает процессы, но вы должны убедиться, что они хранятся. Тогда вы будете использовать lastcomm и всевозможные инструменты, чтобы увидеть, что запущено, когда и каким пользователем. Аудит также может быть проведен, если у вас правильно настроены правила.
Но если вы не настроите эти вещи заранее, если только программы не будут вести свой собственный лог, вы, возможно, не сможете найти много информации.
.