So verfolgen Sie den Prozess im Authentifizierungsprotokoll

Question 1

Ich habe bereits festgestellt, dass von keinem Benutzer Cron-Jobs geplant sind.

Wahrscheinlich haben Sie die systemweiten Cron-Jobs in /etc/crontabund verpasst /etc/cron.d/*.

Wenn es so aussieht, als ob es keine gibt, können Sie sich stracean den Cron-Prozess anschließen, um zu sehen, welche Dateien er liest oder welche Befehle er ausführt:

strace -p 23537 -e file
strace -p 23537 -f -e execve [-s 10000]

In älteren Systemen wurde cron möglicherweise ohne Unterstützung für automatisches Neuladen kompiliert. Wenn also jemand die Jobs manuell aus /etc/crontab entfernte, cron jedoch nicht neu lud, wurden sie weiterhin ausgeführt, bis jemand ein Neuladen auslöste.

Answer

Ich habe bereits festgestellt, dass von keinem Benutzer Cron-Jobs geplant sind.

Wahrscheinlich haben Sie die systemweiten Cron-Jobs in /etc/crontabund verpasst /etc/cron.d/*.

Wenn es so aussieht, als ob es keine gibt, können Sie sich stracean den Cron-Prozess anschließen, um zu sehen, welche Dateien er liest oder welche Befehle er ausführt:

strace -p 23537 -e file
strace -p 23537 -f -e execve [-s 10000]

In älteren Systemen wurde cron möglicherweise ohne Unterstützung für automatisches Neuladen kompiliert. Wenn also jemand die Jobs manuell aus /etc/crontab entfernte, cron jedoch nicht neu lud, wurden sie weiterhin ausgeführt, bis jemand ein Neuladen auslöste.

Question 2

Sie könnenatop.

Nach der Installation werden automatisch Prozesse und deren Ressourcennutzung erfasst und die Daten in Protokolldateien geschrieben. Sie können etwas warten, bis genügend Daten gesammelt sind, und dann die Protokolle prüfen oder analysieren.

Um beispielsweise nach dem Sammeln von Protokollen zu prüfen, welcher Prozess ausgeführt wurde, würde ich den folgenden Befehl empfehlen:

atop -r /var/log/atop/atop_<current date> -b 03:16 -e 03:18 -P PRG | grep -P 'PRG.*\s23557\s\('

Dieser Wille:

Lesen Sie die Protokolldatei vom aktuellen Tag zwischen 03:16 und 03:18
Geben Sie die Daten in einer maschinenlesbaren Ausgabe mit allgemeinen Daten zu den Prozessen aus (einschließlich des Prozessnamens).
Suchen Sie nach der Zeile, in der der Prozess mit PID 23557 aufgeführt wurde, damit Sie den Prozessnamen in Klammern sehen können. Das Grep-Muster dient der höheren Genauigkeit – die Zeile beginnt immer mit PRG, Wertespalten sind durch Leerzeichen getrennt (PID ist eine separate Spalte) und die Spalte nach PID ist der Prozessname in Klammern (beginnt mit ().

Answer

Sie könnenatop.

Nach der Installation werden automatisch Prozesse und deren Ressourcennutzung erfasst und die Daten in Protokolldateien geschrieben. Sie können etwas warten, bis genügend Daten gesammelt sind, und dann die Protokolle prüfen oder analysieren.

Um beispielsweise nach dem Sammeln von Protokollen zu prüfen, welcher Prozess ausgeführt wurde, würde ich den folgenden Befehl empfehlen:

atop -r /var/log/atop/atop_<current date> -b 03:16 -e 03:18 -P PRG | grep -P 'PRG.*\s23557\s\('

Dieser Wille:

Lesen Sie die Protokolldatei vom aktuellen Tag zwischen 03:16 und 03:18
Geben Sie die Daten in einer maschinenlesbaren Ausgabe mit allgemeinen Daten zu den Prozessen aus (einschließlich des Prozessnamens).
Suchen Sie nach der Zeile, in der der Prozess mit PID 23557 aufgeführt wurde, damit Sie den Prozessnamen in Klammern sehen können. Das Grep-Muster dient der höheren Genauigkeit – die Zeile beginnt immer mit PRG, Wertespalten sind durch Leerzeichen getrennt (PID ist eine separate Spalte) und die Spalte nach PID ist der Prozessname in Klammern (beginnt mit ().

So verfolgen Sie den Prozess im Authentifizierungsprotokoll

Antwort1

Antwort2

verwandte Informationen