Re: вопрос по .xsession-errors
On 2015-11-23, Melleus wrote:
> 1. имеем файл ~/.xsession-errors
>
> 2. в него кто-то раз в несколько секунд с завидным постоянством пишет
> следующее:
>
> sh: 1: iwconfig: not found
>
> Обнаружил случайно, решил заглянуть, почему такой большой размер у
> файла. А там - это.
>
> Вопрос - как разобраться, что происходит?
$ sudo apt-get install auditd
$ sudo auditctl -w ~/.xsession-errors -p w
Ждать и затем анализировать /var/log/audit/audit.log, или:
$ sudo ausearch -f ~/.xsession-errors
В конце:
$ sudo auditctl -W ~/.xsession-errors
$ sudo service auditd stop
$ sudo update-rc.d auditd disable
Я попробовал:
$ sudo auditctl -w /tmp -p w
При старте xterm в логе есть строчка:
type=SYSCALL msg=audit(1448308853.684:34): arch=c000003e syscall=87
success=yes exit=0 a0=24218a0 a1=7ffe55d12880 a2=7ffe55d12880
a3=7ffe55d12640 items=2 ppid=3522 pid=12342 auid=4294967295 uid=1000
gid=1000 euid=1000 suid=1000 fsuid=1000 egid=1000 sgid=1000 fsgid=1000
tty=(none) ses=4294967295 comm="xterm" exe="/usr/bin/xterm" key=(null)
Тут у нас pid, ppid, uid, gid, а также:
comm="xterm" exe="/usr/bin/xterm"
что очень удобно для быстро исчезающих скриптов.
> Извиняюсь за шум, методом исключения выяснил, что это awesome
> виноват.
Я полагаю таким способом Вы бы прямо получили ответ без "метода исключения".
Чесно говоря до Вашего поста я о auditctl ничего не знал, но недавно отлаживал
CLASSPATH в Tomcat и там оказалось классным:
$ inotifywait -m -r /tmp
Но inotify не рассказывает какие pid задействованы. inotify можно узнать какие
файлы трогают, но этого не достаточно в Вашем случае.
Для себя поискал как решается задача, что б знать на будущее, auditd -
дополнительно говорит кто трогает.
Там еще есть какие то штуки:
https://en.wikipedia.org/wiki/File_Alteration_Monitor
--
Best regards!
Reply to: