troushoo

ファイルアクセスや新規プロセスの監視 – opensnoop / execsnoop

概要

Linux でファイルシステムや新規プロセスの監視をするツールである BCC の opensnoop / execsnoop を紹介します。

内容

BCC のインストール
BCC は GitHub にオープンソースで公開されているツールです。BCC の一部として opensnoop や execsnoop があります。
Ubuntu 17.10 では以下のコマンドでインストール可能です。(他のディストリビューションのインストール方法は GitHub の INSTALL.md で確認できます。)

sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys D4284CDD
echo "deb https://repo.iovisor.org/apt/xenial xenial main" | sudo tee /etc/apt/sources.list.d/iovisor.list
sudo apt-get update
sudo apt-get install bcc-tools libbcc-examples linux-headers-$(uname -r)

opensnoop の実行
opensnoop は「sudo /usr/share/bcc/tools/opensnoop」で実行可能です。
プログラム (COMM) がアクセスしているファイルのパス (=PATH) がわかります。
ERR の列は、システムエラー番号で、よく表示される 2 は ENOENT (No such file or directory) です。

終了させるには Ctrl + C で可能です。

execsnoop の実行
execsnoop は「sudo /usr/share/bcc/tools/execsnoop」で実行可能です。
実行されたプログラム (=PCOMM) や、その引数 (=ARGS) もわかります。

終了させるには Ctrl + C で可能です。


情報元
iovisor / bcc (英語)

関連記事
Process Monitorのインストールからチィップスまで (1)


  1. 2018/08/05(日) 21:56:56|
  2. Linux
  3. | トラックバック:0
  4. | コメント:0
<<残留オブジェクトを削除可能な Microsoft 公開の GUI ツール Lingering Object Liquidator | ホーム | WMI トレースの有効化>>

コメント

コメントの投稿


管理者にだけ表示を許可する

トラックバック

トラックバック URL
https://troushoo.blog.fc2.com/tb.php/365-ecdbb03c
この記事にトラックバックする(FC2ブログユーザー)

スポンサーリンク

最新記事

月別アーカイブ

カテゴリ

ツール (80)
ネットワーク (37)
Wireshark (44)
Visual Studio (55)
WinDbg (34)
SOS・Psscor2/Psscor4 (25)
Linux (19)
コンテナ (4)
Azure (17)
Tips (19)
AD (8)
.NET (24)
Python (6)
Java (5)
SQL (1)
英語 (1)
About Me (1)
未分類 (0)

全記事表示リンク

全ての記事を表示する

検索フォーム

RSSリンクの表示

リンク

このブログをリンクに追加する