有没有办法看到处理完成运行或被杀了一段时间以前?
例如, ps -ef将显示所有正在运行的进程,但是如果进程结束,则不会再由此命令返回。 例如,如果我想查看一个小时前运行的进程(使用它们的命令),是否有任何命令来执行此操作? 或者不再使用的进程日志?
试图在一小时前调查blip,希望得到尽可能多的信息!
干杯
您可以在系统日志/var/log/syslog和/var/log/messagesfind该信息
根据他们是什么过程,你可能能够find一些关于他们的开始时间等信息。
例如:
Feb 1 12:31:21 centos7 NetworkManager[809]: <info> dhclient started with pid 1319
如果您正在调查某些资源使用情况,则可以使用pidstat将其logging并将其写入日志文件。
还有一些应用程序会写入一个PID文件,以便将来您也可以将其logging下来。
如果你没有事先设置的东西,你不会得到你所需要的,但是psacct会跟踪进程,但是你必须确保存储。 然后你会使用lastcomm和各种工具来查看什么时候运行,以及用户是什么。 如果你的规则设置正确的话,审计也可以。
但是,如果你没有提前设置这些东西,除非程序自己logging,否则你可能无法find很多信息。