Linux如何找到发出 kill -9 信号的真凶？

Linux怎样找到发出kill -9信号的真凶？

在Linux系统中，`kill -9`信号是一个强盛的命令，它可以强制杀死一个进程。然而，有时候我们或许会收到一个`kill -9`信号，而我们却不知道是谁发出的这个信号。在这种情况下，追踪信号的来源就变得尤为重要。以下是一些方法可以帮助你找到发出`kill -9`信号的真凶。

### 1. 使用`ps`命令

首先，你可以使用`ps`命令来查看哪些进程正在运行，并尝试找出或许的嫌疑人。

bash

ps aux

这个命令会列出所有正在运行的进程，包括它们的PID、用户、CPU使用情况等信息。通过这个列表，你可以尝试找到或许是发出`kill -9`信号的那个进程。

### 2. 使用`lsof`命令

`lsof`命令可以列出使用文件的系统打开文件。如果你知道被杀死的进程曾经打开过某些文件，你可以使用`lsof`来查找这些文件，并或许找到发出信号的进程。

bash

lsof -p

替换``为被杀死的进程的PID。

### 3. 查看系统日志

Linux系统的日志文件可以记录很多关键信息，包括进程的启动和完成。你可以查看`syslog`或`dmesg`来寻找线索。

bash

dmesg | grep

或者

bash

grep /var/log/syslog

### 4. 使用`strace`命令

`strace`命令可以跟踪进程执行时的系统调用。你可以使用`strace`来跟踪被杀死的进程，并查看它是否接收到了`kill -9`信号。

bash

strace -p

替换``为被杀死的进程的PID。如果你在`strace`输出中看到`SIGKILL`信号，那么你可以确定是哪个进程发出了这个信号。

### 5. 使用`auditd`审计

`auditd`是一个Linux审计工具，它可以记录系统中的各种事件，包括进程的创建、终止等。如果你启用了`auditd`，你可以检查它的日志来找到发出`kill -9`信号的进程。

bash

auditctl -l

查看`auditd`的配置，然后使用以下命令来查看相关的审计日志：

bash

auditctl -w /proc//cmdline -p warx

替换``为被杀死的进程的PID。这将审计与进程命令行相关的所有事件。

### 6. 使用`systemd`日志

如果你的系统使用`systemd`作为系统和服务管理器，你可以检查`systemd`日志来找到发出`kill -9`信号的进程。

bash

journalctl -u systemd-systemctl

这个命令会显示`systemd`的日志，你可以在这里找到与`kill -9`信号相关的信息。

### 7. 使用`psiginfo`命令

`psiginfo`是一个工具，它可以从`/proc`文件系统中读取信号信息。你可以使用它来查看哪个进程发出了`kill -9`信号。

bash

psiginfo -s SIGKILL

### 结论

通过上述方法，你可以逐步缩小范围，最终找到发出`kill -9`信号的真凶。这些方法或许需要一些时间来执行，但它们是追踪Linux系统中`kill -9`信号来源的有效手段。记住，了解系统的工作原理和掌握相关工具对于系统管理员来说至关重要。

本文由IT视界版权所有,禁止未经同意的情况下转发