Jak znaleźć źródło procesu odradzania?

Mam proces Java działający na instancji RedHat Linux.

Problem polega na tym, że pojawia się ponownie po tym, jak go zabiję. Nie jestem pewien, gdzie szukać. Już poszedłem na crontab, ale bez powodzenia.

Patrzyłem na PPID, ale wskazuje on na init (1).

Masz pomysł, jak mogę znaleźć źródło?

Istnieje wiele możliwości (niektóre wymienione w innych odpowiedziach):

1. Często wykonywany cronjob systemu lub użytkownika,
2. W SysV init /etc/inittabwpis dotyczący usługi z respawndyrektywą,
3. W systemd: plik jednostkowy z Restartopcją ustawioną na wartość inną niż no,
4. W Upstart: plik konfiguracji usługi z respawndyrektywą,
5. Narzędzie do monitorowania procesu, takie jak monitlub
6. Proces nadzorczy ad hoc dla tej konkretnej usługi.

Ciekawym nowym narzędziem (tylko linux), które może zapewnić lepszy wgląd w to, gdzie rozpoczyna się proces, jest sysdig .

Sysdig korzysta z funkcji tracepoint jądra Linuksa, aby zapewnić szybki, ogólnosystemowy system strace.

Na przykład, jeśli chcę zobaczyć rozpoczęcie każdego procesu ls, mogę wydać:

sudo sysdig evt.type=execve and evt.arg.exe=ls

Kiedy lsgdzieś zostanie uruchomiony, otrzymam taki komunikat:

245490 16:53:54.090856066 3 ls (10053) < execve res=0 exe=ls args=--color=auto. tid=10053(ls) pid=10053(ls) ptid=9204(bash) cwd=/home/steved fdlimit=1024 pgft_maj=0 pgft_min=37 vm_size=412 vm_rss=4 vm_swap=0 env=...

Obciąłem zwrócone informacje o środowisku, ale jak widać, w ptid widzę nazwę i pid programu wywołującego execve. execveto wywołanie systemowe używane w Linuksie, używane do wykonywania nowych poleceń (wszystkie inne wywołania exec są tylko frontendami do wykonania).

Wierzę, że możesz użyć pstree. Możesz określić polecenie jako

pstree -p PID

Powyżej otrzymasz listę wszystkich rodziców aplikacji Java.

Możesz zobaczyć jego identyfikator PPID (identyfikator procesu nadrzędnego):

$ ps -eo pid,ppid,args | grep java

Po uzyskaniu PPID (druga kolumna) procesu Java, użyj psponownie, aby znaleźć powiązany proces:

$ ps -p [PPID]

Edycja : jeśli rodzic ma 1 (init), to pierwszy rodzic twojego procesu Java zmarł zaraz po „porodzie” (jak smutno). Z tego powodu nie można użyć bieżącej hierarchii procesów do jej znalezienia. Pierwszą rzeczą, którą poleciłbym ci zrobić, jest sprawdzenie ps -ef. Możesz znaleźć winowajcę po prostu czytając dane wyjściowe.

Następnie spójrz na crontabs (już to zrobiłeś, ale nie będzie bolało):

$ for user in $(cut -f1 -d: /etc/passwd); do echo $user; crontab -u $user -l; done

^{Będzie to wymagało uprawnień roota.}

Nadal nie widzisz zaplanowanego procesu Java? Cholera. Spróbujmy czegoś innego. Jeśli Twój proces Java jest obecny od momentu uruchomienia, spójrz na programy zestrojone podczas uruchamiania. Sugerowałbym coś takiego ...

$ grep -iR java /etc/rc*

Jeśli nadal nie możesz niczego znaleźć, to przyznaję, że brakuje mi pomysłów. Powinieneś naprawdę rzucić okiem ps -efi zlokalizować procesy związane z programami opartymi na Javie. Powinieneś natknąć się na demona lub „program uruchamiający”, odpowiedzialny za ciągłe odrodzenie procesu Java.

Jeśli nie wiesz, kto jest rodzicem, powinieneś skorzystać z narzędzia do śledzenia systemu, takiego jak auditd

możesz włączyć rejestrowanie za pomocą:

auditctl -a exit,always -S execve -F path=/usr/bin/rrdtool

a następnie w /var/log/audit/audit.logliniach wyszukiwania takich jak:

type=SYSCALL msg=audit(1414027338.620:6232): arch=c000003e syscall=59
success=yes exit=0 a0=7fdea0e4db23 a1=7fffec7c5220 a2=7fffec7c87d0
a3=7fdea1b559d0 items=2 ppid=17176 pid=18182 auid=1000 uid=1000 gid=1000 
euid=1000 suid=1000 fsuid=1000 egid=1000 sgid=1000 fsgid=1000 tty=pts8 
ses=2 comm="sh" exe="/bin/dash" key=(null)

(podzielone na wiele linii dla czytelności). Interesujesz się exe="/bin/dash"i / lub pid=18182identyfikujesz proces rouge, którego chcesz szukać, i ppid=17176który rodzic, który go wykonał.