ファイルアクセスや新規プロセスの監視 – opensnoop / execsnoop
概要
Linux でファイルシステムや新規プロセスの監視をするツールである BCC の opensnoop / execsnoop を紹介します。
内容
BCC のインストール
BCC は GitHub にオープンソースで公開されているツールです。BCC の一部として opensnoop や execsnoop があります。
Ubuntu 17.10 では以下のコマンドでインストール可能です。(他のディストリビューションのインストール方法は GitHub の INSTALL.md で確認できます。)
| sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys D4284CDD echo "deb https://repo.iovisor.org/apt/xenial xenial main" | sudo tee /etc/apt/sources.list.d/iovisor.list sudo apt-get update sudo apt-get install bcc-tools libbcc-examples linux-headers-$(uname -r) |
opensnoop の実行
opensnoop は「sudo /usr/share/bcc/tools/opensnoop」で実行可能です。
プログラム (COMM) がアクセスしているファイルのパス (=PATH) がわかります。
ERR の列は、システムエラー番号で、よく表示される 2 は ENOENT (No such file or directory) です。
終了させるには Ctrl + C で可能です。
execsnoop の実行
execsnoop は「sudo /usr/share/bcc/tools/execsnoop」で実行可能です。
実行されたプログラム (=PCOMM) や、その引数 (=ARGS) もわかります。
終了させるには Ctrl + C で可能です。
情報元
iovisor / bcc (英語)
関連記事
Process Monitorのインストールからチィップスまで (1)
