如何监控进程子进程 fork和exec调用追踪方法

最直接的方式是使用 strace、auditd 或 systemtap 工具；1. strace 可追踪指定进程的 fork 和 execve 系统调用，加 -f 参数可监控子进程；2. auditd 适合系统级长期监控，通过配置规则记录 execve 调用及相关上下文；3. systemtap 支持编写自定义脚本实现灵活监控，适合高级用户和自动化平台集成。

Linux环境下，想监控一个进程及其子进程的 fork 和 exec 调用，最直接的方式是利用系统自带的调试和追踪工具。这类操作通常用于排查程序行为、调试服务启动流程，或者分析恶意行为。下面介绍几种实用的方法。

使用 strace 追踪 fork 和 exec

strace 是 Linux 下非常强大的系统调用追踪工具。它可以让你看到某个进程在运行时都调用了哪些系统调用，包括 fork、execve 等。

使用方法：

• 监控某个进程的所有系统调用：

  

  strace -p <pid>

  登录后复制

• 只关注 fork 和 exec（更高效）：

  strace -p <pid> -e trace=fork,execve

  登录后复制

• 如果你想同时监控子进程（比如服务启动脚本），加上 -f 参数：

  strace -f -p <pid> -e trace=fork,execve

  登录后复制

这样就能看到目标进程以及它 fork 出来的所有子进程的 exec 行为，适合快速定位问题。

用 auditd 实现系统级监控

如果你需要对整个系统进行监控，而不是只针对单个进程，可以使用 auditd。它是 Linux 审计系统的守护进程，适合做长期或安全相关的监控。

配置步骤：

1. 安装 auditd（以 Ubuntu 为例）：

   sudo apt install auditd

   登录后复制

2. 添加审计规则，监控 execve 调用（包含 fork 后执行新程序的行为）：

   sudo auditctl -w /usr/bin/ -p war -k my_exec_events

   登录后复制

   或者更细粒度地设置系统调用过滤：

   sudo auditctl -a exit,always -F arch=b64 -S execve -k exec_monitor

   登录后复制

3. 查看日志：

   ausearch -k exec_monitor

   登录后复制

auditd 的优势在于它能记录更完整的上下文信息，比如用户、进程名、参数等，适合做合规审计或入侵检测。

利用 systemtap 编写自定义脚本

对于有定制化需求的场景，比如你想在特定条件下才触发记录，或者要聚合数据统计，可以考虑使用 systemtap。

简单示例脚本：

probe syscall.fork {
    printf("PID %d called fork()\n", pid())
}

probe syscall.execve {
    printf("PID %d is executing %s\n", pid(), filename)
}

保存为 trace_exec_fork.stp，然后运行：

sudo stap trace_exec_fork.stp

systemtap 提供了更大的灵活性，但需要一定的学习成本，适合高级用户或自动化监控平台集成。

小贴士与注意事项

• 如果你发现子进程没有被追踪到，可能是没加 -f 参数。
• execve 是实际执行新程序的系统调用，而 fork 只是创建了一个副本。
• 不同发行版默认安装情况不同，记得先检查是否已安装相关工具。
• 在生产环境使用 auditd 时要注意性能影响，建议只监控必要内容。

基本上就这些方法了。根据你的具体场景选择合适的工具，效果会更好。

以上就是如何监控进程子进程 fork和exec调用追踪方法的详细内容，更多请关注php中文网其它相关文章！