← retour aux snippets

execsnoop (bcc): voir les processus lancés en temps réel

Tracer les execve pour auditer les commandes exécutées et leurs arguments.

bash ebpf #bcc#execsnoop#audit

objectif

Observer un système sous suspicion de scripts sauvages.

code minimal

sudo execsnoop

utilisation

# filtrer un binaire
sudo execsnoop -n nginx

variante(s) utile(s)

# filtrer par UID
sudo execsnoop -u 1000

notes

  • verbeux; pipez vers grep/awk si besoin.
  • sensible à la charge; utilisez brièvement en prod.