Esta manhã cheguei e notei que a luz do meu disco rígido estava acesa. Isso era incomum, então eu corri iotope vi um findcomando pesquisando meu sistema de arquivos.
Resolvi correr ps auxZpara despejar os processos com rótulos SELinux. Acontece que o findcomando estava sendo executado no contexto de segurança locate_t.
Com base nisso, cheguei à conclusão de que era uma locateatualização do banco de dados.
Eu queria saber como eu poderia chegar rapidamente à mesma conclusão sem olhar para os rótulos de segurança dos processos?
Duas ideias me vêm à mente:
o processo pai de
findindicaria qual processo o invocou; seguir essa árvore de processos pode levar você alocate; aqui está um exemplo em que eu o invoquei de um shell bash:Alternativamente, como sugerido pelo cas
pstree -a -p | less, execute uma representação gráfica dos processos atuais; encontre ofindcomando e trace sua linha para a esquerda e para cima.identificar a hora de início do
findcomando pode apontar para tarefas cron agendadas; veja os arquivos crontab do sistema (/etc/anacrontab, /etc/cron.daily, /etc/cron.weekly, /etc/cron.monthly, /var/spool/cron/root, etc).