lsof -p 12345 จะแสดงรายการไฟล์ทั้งหมดที่เปิดโดยกระบวนการซึ่งมีหมายเลข pid คือ 12345 แต่สำหรับช่วงเวลาหนึ่งโดยเฉพาะ
เราจะตรวจสอบกระบวนการอย่างต่อเนื่องตั้งแต่ต้นจนจบ (จนกว่ากระบวนการจะถูกยกเลิก) เพื่อแสดงรายการ / แสดงทุกไฟล์ที่เข้าถึงได้โดยกระบวนการในช่วงอายุการใช้งานทั้งหมด?
คำตอบ:
ลองด้วยstrace -p 12345; มันควรทำสิ่งที่คุณพยายามจะบรรลุ
เอาต์พุตสามารถถูกกรองเพื่อแสดงไฟล์ที่เปิดเท่านั้น ( ความคิดเห็นของ Dan D. ):
strace -e open -p 12345
หมายเหตุ:strace -e open <command>คุณยังสามารถติดตามได้อย่างรวดเร็วกระบวนการทำงานกับ
strace -p {pid} | grep -i "Open" | tee files_opened.log. กุญแจคือgrepซึ่งช่วยให้คุณกรองเอาท์พุทสำหรับการโทรของระบบที่คุณต้องการ (เช่นopen())
straceสามารถทำได้ดีกว่าgrepด้วย-eตัวเลือก:strace -e open
ยูทิลิตี้ใหม่ของfatraceจะทำสิ่งนี้: https://launchpad.net/fatrace/
sudo fatrace | grep '(6514)'
อย่าใช้ตัวเลือก -p หมายถึงตรงกันข้ามกับความหมายใน lsof หรือยูทิลิตี้อื่น ๆ
นี่จะวนซ้ำการรันคำสั่งของคุณและล้างหน้าจอทุกครั้ง:
watch "lsof -p 12345"
คำเตือน: การทำเช่นนี้จะทำให้พลาดการเข้าถึงไฟล์อย่างรวดเร็วและเหมาะสำหรับการดูไฟล์ที่มีมานานเท่านั้น
straceที่ใช้
lsof