大佬教程收集整理的这篇文章主要介绍了linux – 如何找出创建临时文件的内容,大佬教程大佬觉得挺不错的,现在分享给大家,也给大家做个参考。
如何找出mktemp创建这些文件的脚本?我可以使用auditd捕获父进程id /命令行吗?
更新:
我相信我有父进程ID(ppid = 17729),但脚本很快退出,我找不到脚本.我可以设置auditd来获取父进程命令行吗?
auditctl -w /tmp -k tmpfiles
然后:
ausearch -k tmpfiles|grep "tmp."
ausearch -k tmpfiles -f /tmp/tmp.tMIHx17730
setup auditd:
auditctl -w /tmp -k tmpfiles auditctl -a task,always
然后搜索
ausearch -k tmpfiles|grep "/tmp/tmp."
我得到这样的东西:
然后我得到ppid = 5807并搜索或进程:
ausearch -p 5807
我有类似的东西
time->Thu Nov 12 12:14:34 2015 type=SYSCALL msg=audit(1447323274.234:2547064): arch=c000003e syscall=231 a0=1 a1=3c a2=1 a3=0 items=0 ppid=5772 pid=5807 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(nonE) ses=84330 comm="bitdefender-wra" exe="/bin/bash" key=(null)
其中exe =“/ bin / bash”是可执行文件,comm =“bitdefender-wra”是(截断的)命令行.
所以我只是运行:
# locate bitdefender-wra /usr/lib/MailScAnner/bitdefender-wrapper
它是:
LogFile=$(mktemp) || { echo "$0: CAnnot create temporary file" >&2; exit 1; }
我改成这个:
LogFile=$(mktemp /tmp/bitdefender.XXXXXXXXXXXX) || { echo "$0: CAnnot create temporary file" >&2; exit 1; }
为了验证这是不删除它的临时文件的脚本.下面有rm -f $LogFile,但之前也有退出.
请记住,可能有更好的方法.因此,我将等待某人使用创建tmp文件的进程的命令行找到最佳方法来查找父级.我的方式没有太多的过滤器,并创建了太大的日志.
以上是大佬教程为你收集整理的linux – 如何找出创建临时文件的内容全部内容,希望文章能够帮你解决linux – 如何找出创建临时文件的内容所遇到的程序开发问题。
如果觉得大佬教程网站内容还不错,欢迎将大佬教程推荐给程序员好友。
本图文内容来源于网友网络收集整理提供,作为学习参考使用,版权属于原作者。
如您有任何意见或建议可联系处理。小编QQ:384754419,请注明来意。