← retour aux snippets

execsnoop (bcc): voir les processus lancés en temps réel

Tracer les execve pour auditer les commandes exécutées et leurs arguments.

objectif

Observer un système sous suspicion de scripts sauvages.

code minimal

sudo execsnoop

utilisation

# filtrer un binaire
sudo execsnoop -n nginx

variante(s) utile(s)

# filtrer par UID
sudo execsnoop -u 1000

notes

  • verbeux; pipez vers grep/awk si besoin.
  • sensible à la charge; utilisez brièvement en prod.