关于系统进程监控

lzd7807

发现了一个很奇怪的现象
本地总是在规律的发起ssh自己的ssh端口，然后断掉，时间很短，等发现进程号和端口号的时候，用lsof去查，进程和端口早已经不存在了，有没有什么办法查一下，在这个ssh动作是由哪一个进程发起的？

lemoncookie

随便写了个简单脚本，你可以试试看能不能抓到什么有用信息

#!/bin/bash while true ;do     top -b -n 1 | grep ssh >> logsshfile     sleep 5 done

kns1024wh

#!/bin/bash

while true ;do
    top -b -n 1 | grep ssh >> logsshfile
   done
取消sleep 5，不然5秒钟的东东都是看不到的

lzd7807

我写了一个简单脚本，1秒钟执行一次可是也还是取不到信息，等我从日志中发现，把进程号过滤出来，再去ps查询已经什么都没有了
是我的脚本有问题？
#!/bin/bash
jincheng=$(tail -5 /var/log/messages |grep disconnected |awk {'print $5'} |sed -e s'/sshd\[//' |sed -e s'/]://' |head -1 |grep -v grep)
if [ -n "${jincheng}" ]; then
ps -ef |grep ${jincheng} |grep -v grep
echo "$(ps -ef |grep ${jincheng}|grep -v grep)"
else
echo "no connect"
fi

aries1998

把sshd服务的日志级别开低一点，或者sshd开debug模式，这样应该可以看出点什么