Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

22.2. execsnoop を使用したシステムプロセスの調査

BCC スイートの execsnoop ツールは、新しいプロセス実行イベントをリアルタイムで取得して表示します。これは、システム上で実行されているコマンドやバイナリーを監視し、デバッグ、監査、セキュリティー監視を行うのに役立ちます。

手順

  1. 1 つのターミナルで execsnoop プログラムを実行します。 

    # /usr/share/bcc/tools/execsnoop
    Copy to Clipboard Toggle word wrap

  2. ls コマンドの短期的なプロセスを作成するために、別のターミナルで次のように入力します。 

    $ ls /usr/share/bcc/tools/doc/
    Copy to Clipboard Toggle word wrap

    execsnoop を実行している端末に、次のような出力が表示されます。 

    PCOMM	PID    PPID   RET ARGS
ls   	8382   8287     0 /usr/bin/ls --color=auto /usr/share/bcc/tools/doc/
    Copy to Clipboard Toggle word wrap

    execsnoop プログラムは、システムリソースを消費する新しいプロセスごとに 1 つの行を出力します。また、ls などの非常に短期間に実行されるプログラムのプロセスを検出します。なお、ほとんどの監視ツールはそれらを登録しません。execsnoop 出力には以下のフィールドが表示されます。

    PCOMM
    親プロセス名。(ls)
    PID
    プロセス ID。(8382)
    PPID
    親プロセス ID。(8287)
    RET
    新しいプロセスにプログラムコードをロードする exec() システムコールの戻り値 (0)。
    ARGS

    引数を使用して起動したプログラムの場所。

    詳細は、システム上の /usr/share/bcc/tools/doc/execsnoop_example.txt ファイルと exec(3) man ページを参照してください。

トップに戻る
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2025 Red Hat