查找文件被操作的进程与代码

接手别人的工作，由于对难度估计不足，困难远远超过自己的想象，眼看着磁盘空间飞快的增长，就是找不到操作磁盘IO的代码。

首先采用撞大运的方法，希望能从进程中找到蛛丝马迹，如下：

ps -ef|grep sec.log

结果很失望，果然没有找到需要的进程。

只好换种方法，利用“fuser”从文件入手，如下：

#   分析文件，得到进程号5166fuser -uv ./sec_audit_log/biz/sec_audit-2017-12-19.log #   分析进程ps -lfp 5166

最后的输出结果如下：

F S UID        PID  PPID  C PRI  NI ADDR SZ WCHAN  STIME TTY          TIME CMD0 R yiifaa    5166 46809 99  80   0 - 113741 futex_ 15:08 ?       02:27:15 python run.py mis

但遗憾的是，“run.py”是相对路径，还不足以支持寻找到程序文件，显然“which”、“whereis”是不太可能的，find则面临两个问题，一是可能出现重复的文件，二是可能没有查找的权限，只好继续查找，使用“/proc/”文件夹的特性，如下：

# 获取进程的所有信息ll /proc/5166

在上面的输出信息中，找到黑色粗体“cwd”所在行，即是可执行文件的所在目录，如下：

lrwxrwxrwx 1 xiaoju xiaoju 0 Dec 19 15:08 cwd -> /home/xiaoju/sec_audit/src/service/scheduler

或者直接一步到位，如下：

ll /proc/5166 | grep cwd

到此找到了被操作的进程与代码的准确位置。

当然，还有逆向的方法，从进程入手，采用“lsof”命令，依次进行查找：

#! /bin/bashPS=`ps -ef|grep python|awk '{print $2}'`for p in $PSdo    #echo $p    lsof -p $p|grep sec_audit 2>/dev/nulldone

其他可能有帮助的命令

命令 用途 lcat 查看内存分配 pstack 查看堆栈 strace 查看发出的系统调用 查看调用库函数 ltrace

参考文档