Làm thế nào để tìm nguồn của quá trình sinh sản?

Tôi có một quy trình Java chạy trên một cá thể RedHat Linux.

Vấn đề là nó cứ xuất hiện trở lại sau khi tôi giết nó. Tôi không chắc chắn nơi để tìm. Tôi đã đi đến crontab, nhưng không có may mắn.

Tôi đã xem PPID, nhưng nó chỉ ra init (1).

Bất kỳ ý tưởng làm thế nào tôi có thể tìm ra nguồn?

Có một số khả năng (một số được đề cập trong các câu trả lời khác):

1. Một hệ thống hoặc người dùng cronjob thực thi thường xuyên,
2. Trong SysV init, một /etc/inittabmục nhập cho dịch vụ với respawnchỉ thị,
3. Trong systemd, một tệp đơn vị với Restarttùy chọn được đặt thành một giá trị khác no,
4. Trong Upstart, một tệp cấu hình dịch vụ với respawnchỉ thị,
5. Một công cụ giám sát quá trình như monit, hoặc
6. Một quy trình theo dõi đặc biệt cho dịch vụ cụ thể đó.

Một công cụ mới thú vị (chỉ dành cho linux) có thể cung cấp cái nhìn sâu sắc hơn về nơi quá trình đang được bắt đầu là sysdig .

Sysdig sử dụng các tính năng tracepoint của Linux Kernel để cung cấp số tiền cho hệ thống nhanh, rộng strace.

Ví dụ: nếu tôi muốn xem mọi quá trình bắt đầu ls, tôi có thể phát hành:

sudo sysdig evt.type=execve and evt.arg.exe=ls

Khi lsđược chạy ở đâu đó, tôi sẽ nhận được một tin nhắn như thế này:

245490 16:53:54.090856066 3 ls (10053) < execve res=0 exe=ls args=--color=auto. tid=10053(ls) pid=10053(ls) ptid=9204(bash) cwd=/home/steved fdlimit=1024 pgft_maj=0 pgft_min=37 vm_size=412 vm_rss=4 vm_swap=0 env=...

Tôi đã cắt bớt thông tin môi trường được trả về, nhưng như bạn có thể thấy, trong ptid tôi có thể thấy tên và pid của chương trình gọi execve. execvelà cuộc gọi hệ thống được sử dụng trong Linux được sử dụng để thực hiện các lệnh mới (tất cả các lệnh thực thi khác chỉ là tiền đề để thực thi).

Tôi tin rằng bạn có thể sử dụng pstree. Bạn có thể chỉ định lệnh là,

pstree -p PID

Ở trên sẽ cung cấp cho bạn một danh sách tất cả các phụ huynh của các ứng dụng java.

Bạn có thể xem PPID của nó (ID tiến trình gốc):

$ ps -eo pid,ppid,args | grep java

Khi bạn đã có PPID (cột thứ hai) của quy trình Java, hãy sử dụng pslại để tìm quy trình liên quan:

$ ps -p [PPID]

Chỉnh sửa : nếu cha mẹ là 1 (init), thì cha mẹ đầu tiên của quá trình Java của bạn đã chết ngay sau khi "sinh con" (thật đáng buồn). Do đó, bạn không thể sử dụng hệ thống phân cấp quy trình hiện tại để tìm thấy nó. Điều đầu tiên tôi khuyên bạn nên làm là kiểm tra ps -ef. Bạn có thể tìm ra thủ phạm chỉ bằng cách đọc đầu ra.

Sau đó, hãy xem crontabs (bạn đã làm rồi, nhưng nó sẽ không đau):

$ for user in $(cut -f1 -d: /etc/passwd); do echo $user; crontab -u $user -l; done

^{Điều này sẽ yêu cầu quyền root.}

Vẫn không thể thấy một quy trình Java được lên lịch? Đằng đó. Hãy thử một cái gì đó khác. Nếu quy trình Java của bạn có mặt kể từ khi khởi động, hãy xem các chương trình được lập trình lúc khởi động. Tôi sẽ đề nghị một cái gì đó như ...

$ grep -iR java /etc/rc*

Nếu bạn vẫn không thể tìm thấy bất cứ điều gì thì ... Tôi thừa nhận tôi đang cạn kiệt ý tưởng. Bạn thực sự cần có cái nhìn khác ps -efvà định vị các quy trình liên quan đến các chương trình dựa trên Java. Bạn sẽ bắt gặp một trình nền, hoặc một "trình khởi chạy", chịu trách nhiệm cho sự hồi sinh liên tục của quy trình Java của bạn.

Nếu bạn không biết ai là cha mẹ, bạn nên theo dõi một số hệ thống như Audd

bạn cho phép đăng nhập bằng:

auditctl -a exit,always -S execve -F path=/usr/bin/rrdtool

và sau đó /var/log/audit/audit.logtìm dòng như:

type=SYSCALL msg=audit(1414027338.620:6232): arch=c000003e syscall=59
success=yes exit=0 a0=7fdea0e4db23 a1=7fffec7c5220 a2=7fffec7c87d0
a3=7fdea1b559d0 items=2 ppid=17176 pid=18182 auid=1000 uid=1000 gid=1000 
euid=1000 suid=1000 fsuid=1000 egid=1000 sgid=1000 fsgid=1000 tty=pts8 
ses=2 comm="sh" exe="/bin/dash" key=(null)

(chia thành nhiều dòng để dễ đọc). Bạn quan tâm exe="/bin/dash"và / hoặc pid=18182xác định quá trình chia sẻ của bạn mà bạn muốn tìm và ppid=17176xác định cha mẹ đã thực hiện nó.