从您提供的 auditd 日志中,可以直接提取发起信号的进程PID(即发送信号的进程)。以下是关键字段的解析:
✅ 直接获取发送信号的进程PID
在 SYSCALL 行中,以下字段标识了信号发送方:
pid=369784:表示发起kill系统调用的进程PID(即发送信号的进程)。ppid=369773:是该进程的父进程PID。auid=emm:是发起操作的原始用户ID(审计用户ID)。
📌 日志关键字段说明:
type=SYSCALL
msg=audit(09/15/2025 14:41:39.916:4799) :
arch=x86_64 # 系统架构
syscall=kill # 系统调用类型(这里是kill)
success=yes # 操作成功
exit=0 # 退出码为0(成功)
a0=0x5a413 # 参数1:目标进程PID(十六进制,即369683)
a1=SIGHUP # 参数2:信号类型(这里是SIGHUP)
a2=0x0 # 参数3(未使用)
pid=369784 # 【关键】发起kill系统调用的进程PID(信号发送方)
ppid=369773 # 发送方进程的父进程PID
uid=emm # 执行操作的用户身份
comm=AppEngine # 发送方进程的命令名称
exe=/usr/local/AppEngine/sbin/AppEngine # 发送方进程的可执行文件路径
🔍 结论:
- 信号发送方进程PID:
369784 - 信号接收方进程PID:
369683(即OBJ_PID中的opid=369683) - 信号类型:
SIGHUP(重新加载配置) - 发送方进程:
/usr/local/AppEngine/sbin/AppEngine
⚡ 快速验证:
可以通过以下命令查看发送方进程的详细信息:
ps -p 369784 -o pid,ppid,comm,cmd
输出示例:
PID PPID COMMAND CMD
369784 369773 AppEngine /usr/local/AppEngine/sbin/AppEngine -s reload
💡 提示:
- 日志中的
a0=0x5a413是十六进制,转换为十进制是369683(即接收信号的进程PID)。 - 此日志是通过审计规则(监控
kill系统调用)捕获的,完整记录了信号发送行为。
如果有其他日志需要解析,可以继续提供!
内容由零声教学AI助手提供,问题来源于学员提问
