On 2015-11-23, Melleus wrote: > 1. имеем файл ~/.xsession-errors > > 2. в него кто-то раз в несколько секунд с завидным постоянством пишет > следующее: > > sh: 1: iwconfig: not found > > Обнаружил случайно, решил заглянуть, почему такой большой размер у > файла. А там - это. > > Вопрос - как разобраться, что происходит?
$ sudo apt-get install auditd $ sudo auditctl -w ~/.xsession-errors -p w Ждать и затем анализировать /var/log/audit/audit.log, или: $ sudo ausearch -f ~/.xsession-errors В конце: $ sudo auditctl -W ~/.xsession-errors $ sudo service auditd stop $ sudo update-rc.d auditd disable Я попробовал: $ sudo auditctl -w /tmp -p w При старте xterm в логе есть строчка: type=SYSCALL msg=audit(1448308853.684:34): arch=c000003e syscall=87 success=yes exit=0 a0=24218a0 a1=7ffe55d12880 a2=7ffe55d12880 a3=7ffe55d12640 items=2 ppid=3522 pid=12342 auid=4294967295 uid=1000 gid=1000 euid=1000 suid=1000 fsuid=1000 egid=1000 sgid=1000 fsgid=1000 tty=(none) ses=4294967295 comm="xterm" exe="/usr/bin/xterm" key=(null) Тут у нас pid, ppid, uid, gid, а также: comm="xterm" exe="/usr/bin/xterm" что очень удобно для быстро исчезающих скриптов. > Извиняюсь за шум, методом исключения выяснил, что это awesome > виноват. Я полагаю таким способом Вы бы прямо получили ответ без "метода исключения". Чесно говоря до Вашего поста я о auditctl ничего не знал, но недавно отлаживал CLASSPATH в Tomcat и там оказалось классным: $ inotifywait -m -r /tmp Но inotify не рассказывает какие pid задействованы. inotify можно узнать какие файлы трогают, но этого не достаточно в Вашем случае. Для себя поискал как решается задача, что б знать на будущее, auditd - дополнительно говорит кто трогает. Там еще есть какие то штуки: https://en.wikipedia.org/wiki/File_Alteration_Monitor -- Best regards!