找出更新文件的進程或腳本Solaris

Question

我有一個日誌文件，它從我的服務器捕獲文件傳輸詳細信息，如rsh，sftp，ssh會話詳細信息。我只想回溯並找出更新日誌文件的所有進程/腳本。我不太確定如何捕獲這些信息。

日誌文件看起來像：

Oct 15 11:43:35 myclient inetd[15032]: [ID 927837 daemon.info] connect from client22.mydomain.com 
Oct 15 11:43:35 myclient inetd[15033]: [ID 927837 daemon.info] connect from Client101.mydomain.com 
Oct 15 11:43:35 myclient inetd[15034]: [ID 927837 daemon.info] connect from client05dev.mydomain.com 
Oct 15 11:43:36 myclient inetd[15038]: [ID 927837 daemon.info] connect from searay.mydomain.com 
Oct 15 11:43:36 myclient in.rshd[15038]: [ID 724835 daemon.info] connect from epsadmin@searay.mydomain.com (ls -l /home/generic/fpcdetail/fpcdetail.bod.mm) 
Oct 15 11:43:36 myclient inetd[15041]: [ID 927837 daemon.info] connect from pgdbsu01dev.mydomain.com 
Oct 15 11:43:36 myclient in.rshd[15041]: [ID 724835 daemon.info] connect from qrtdev@pgdbsu01dev.mydomain.com (ls -l /ifeeds/filemgr/filemgr.rimes.ftspeuro_industry_prn) 
Oct 15 11:43:36 myclient inetd[15040]: [ID 927837 daemon.info] connect from client22.mydomain.com 
Oct 15 11:43:38 myclient inetd[15044]: [ID 927837 daemon.info] connect from client22.mydomain.com 

Answer 1

這看起來像系統日誌輸出。如果是這樣的話，那麼你會發現觸摸日誌文件的唯一過程是syslogd。這些程序使用syslog(3)來執行日誌記錄。一般來說，這個名字例如inetd[12345]是執行日誌記錄的程序的名稱和進程ID。

當您使用solaris時，您可以使用dtrace查看誰在調用系統日誌 - 請參閱this dtrace one-liner以瞭解您所尋找的內容;但它僅限於正在追蹤的一次pid。