Linux 进程起源追踪术：揭开长期进程开始时间的迷雾

2024-04-04 07:10:23

揭秘 Linux：揭开长期进程起源的神秘面纱

在 Linux 系统中，如果你需要了解一个长期运行进程的开始时间，你会发现自己陷入了一个时间迷雾之中。使用 ps 命令，你只能看到日期，如果进程不是今天启动的；或者只能看到年份，如果进程不是今年启动的。对于运行时间长的进程，似乎精度永远丢失了。

但事实并非如此！即使对于长期运行的进程，也有方法可以追溯到它们的起源。下面介绍两种有效的方法：

每个正在运行的进程都在 /proc 文件系统中有一个目录，其中包含大量有关该进程的信息。对于开始时间，我们需要查看 /proc/[pid]/stat 文件。其中第 22 行包含进程的启动时间，以秒为单位，自 Epoch 时间以来。我们可以使用以下命令获取以可读格式表示的开始时间：

cat /proc/[pid]/stat | awk '{print $22}' | xargs -I {} date -d @{} +%Y-%m-%d\ %H:%M:%S

auditd 是一个记录系统事件的 Linux 内核模块。默认情况下，它处于启用状态，并会记录每个进程的启动事件。我们可以使用以下命令搜索 auditd 日志以查找特定进程的开始时间：

ausearch -m avc -ts process -sp start -k [process_name]

输出中将包含进程的开始时间，格式如下：

type=SYSCALL msg=audit(1655962204.505:122881): arch=c000003e syscall=1 success=yes exit=0 ...

其中，success=yes 行包含进程的开始时间戳，我们可以使用以下命令将其转换为可读格式：

date -d @1655962204.505

通过使用 /proc 文件系统或 auditd，我们可以追溯到长期运行的 Linux 进程的开始时间。这些方法提供了准确和可靠的结果，即使对于已经运行了很长时间的进程也是如此。

Q1：为什么 ps 命令只能显示有限的时间信息？

A1：ps 命令只报告日期和时间的一部分，因为这些信息存储在进程表中，而该表具有有限的精度。

Q2：auditd 日志中记录了哪些其他有关进程的信息？

A2：auditd 日志还记录了进程的用户名、命令行参数和文件系统操作等信息。

Q3：如果我找不到该进程的 auditd 记录怎么办？

A3：如果进程在 auditd 启用之前启动，或者 auditd 日志被清除，你可能无法找到该进程的记录。

Q4：这些方法是否适用于所有 Linux 发行版？

A4：这些方法适用于大多数 Linux 发行版，但具体实现可能因发行版而异。

Q5：除了了解开始时间，我还可以从这些方法中获取哪些其他信息？

A5：这些方法还可以提供有关进程的父进程、状态和资源使用的信息。

探索Web开发资源和人工智能教程的代码社区

扫码关注微信公众号