我有一个日志文件,它从我的服务器捕获文件传输详细信息,如rsh,sftp,ssh会话详细信息。我只想回溯并找出更新日志文件的所有进程/脚本。我不太清楚如何捕获这些信息。
日志文件如下所示:
Oct 15 11:43:35 myclient inetd[15032]: [ID 927837 daemon.info] connect from client22.mydomain.com
Oct 15 11:43:35 myclient inetd[15033]: [ID 927837 daemon.info] connect from Client101.mydomain.com
Oct 15 11:43:35 myclient inetd[15034]: [ID 927837 daemon.info] connect from client05dev.mydomain.com
Oct 15 11:43:36 myclient inetd[15038]: [ID 927837 daemon.info] connect from searay.mydomain.com
Oct 15 11:43:36 myclient in.rshd[15038]: [ID 724835 daemon.info] connect from epsadmin@searay.mydomain.com (ls -l /home/generic/fpcdetail/fpcdetail.bod.mm)
Oct 15 11:43:36 myclient inetd[15041]: [ID 927837 daemon.info] connect from pgdbsu01dev.mydomain.com
Oct 15 11:43:36 myclient in.rshd[15041]: [ID 724835 daemon.info] connect from qrtdev@pgdbsu01dev.mydomain.com (ls -l /ifeeds/filemgr/filemgr.rimes.ftspeuro_industry_prn)
Oct 15 11:43:36 myclient inetd[15040]: [ID 927837 daemon.info] connect from client22.mydomain.com
Oct 15 11:43:38 myclient inetd[15044]: [ID 927837 daemon.info] connect from client22.mydomain.com
答案 0 :(得分:2)
这看起来像syslog输出。如果是这种情况,那么您将发现触及日志文件的唯一进程是syslogd。程序使用syslog(3)来执行日志记录。通常,名称例如inetd[12345]是执行日志记录的程序的名称和进程ID。
当您使用solaris时,您可以使用dtrace查看谁正在调用syslog - 请参阅this dtrace one-liner以获取与您正在寻找的内容类似的内容;但它仅限于被追踪的曾经的pid。