最直接的方式是使用 strace、auditd 或 systemtap 工具;1. strace 可追踪指定进程的 fork 和 execve 系统调用,加 -f 参数可监控子进程;2. auditd 适合系统级长期监控,通过配置规则记录 execve 调用及相关上下文;3. systemtap 支持编写自定义脚本实现灵活监控,适合高级用户和自动化平台集成。
linux环境下,想监控一个进程及其子进程的 fork 和 exec 调用,最直接的方式是利用系统自带的调试和追踪工具。这类操作通常用于排查程序行为、调试服务启动流程,或者分析恶意行为。下面介绍几种实用的方法。
使用 strace 追踪 fork 和 exec
strace 是 Linux 下非常强大的系统调用追踪工具。它可以让你看到某个进程在运行时都调用了哪些系统调用,包括 fork、execve 等。
使用方法:
-
监控某个进程的所有系统调用:
strace -p <pid>
-
只关注 fork 和 exec(更高效):
strace -p <pid> -e trace=fork,execve
-
如果你想同时监控子进程(比如服务启动脚本),加上 -f 参数:
strace -f -p <pid> -e trace=fork,execve
这样就能看到目标进程以及它 fork 出来的所有子进程的 exec 行为,适合快速定位问题。
用 auditd 实现系统级监控
如果你需要对整个系统进行监控,而不是只针对单个进程,可以使用 auditd。它是 Linux 审计系统的守护进程,适合做长期或安全相关的监控。
配置步骤:
-
安装 auditd(以 ubuntu 为例):
sudo apt install auditd
-
添加审计规则,监控 execve 调用(包含 fork 后执行新程序的行为):
sudo auditctl -w /usr/bin/ -p war -k my_exec_events
或者更细粒度地设置系统调用过滤:
sudo auditctl -a exit,always -F arch=b64 -S execve -k exec_monitor
-
查看日志:
ausearch -k exec_monitor
auditd 的优势在于它能记录更完整的上下文信息,比如用户、进程名、参数等,适合做合规审计或入侵检测。
利用 systemtap 编写自定义脚本
对于有定制化需求的场景,比如你想在特定条件下才触发记录,或者要聚合数据统计,可以考虑使用 systemtap。
简单示例脚本:
probe syscall.fork { printf("PID %d called fork()n", pid()) } probe syscall.execve { printf("PID %d is executing %sn", pid(), filename) }
保存为 trace_exec_fork.stp,然后运行:
sudo stap trace_exec_fork.stp
systemtap 提供了更大的灵活性,但需要一定的学习成本,适合高级用户或自动化监控平台集成。
小贴士与注意事项
- 如果你发现子进程没有被追踪到,可能是没加 -f 参数。
- execve 是实际执行新程序的系统调用,而 fork 只是创建了一个副本。
- 不同发行版默认安装情况不同,记得先检查是否已安装相关工具。
- 在生产环境使用 auditd 时要注意性能影响,建议只监控必要内容。
基本上就这些方法了。根据你的具体场景选择合适的工具,效果会更好。
