https://mobile.opennet.me/openforum/vsluhforumID3/107320.html Состоялся (hhttps://sourceware.org/ml/systemtap/2016-q1/msg00179.html) релиз системы динамической трассировки SystemTap 3.0 (http://sourceware.org/systemtap/), предоставляющий для платформы Linux средства похожие на технологию DTrace. SystemTap позволяет организовать доскональное наблюдение за работающей Linux системой, производить сбор статистики о работе приложений, профилирование и контроль системных вызовов. Управление производится через интерфейс командной строки и специальный Си-подобный язык сценариев (http://sourceware.org/systemtap/documentation.html). Система протестирована с ядрами Linux начиная с версии 2.6.18 и заканчивая 4.6.0-rc0. <br><br><br><br>В развитии проекта участвуют такие компании как Red Hat, IBM, Intel, Hitachi и Oracle. В каталоге примеров (http://sourceware.org/systemtap/examples/keyword-index.html) представлено более 150 скриптов на все случаи жизни, подходящие для слежения за распределением памяти, вводом/выводом, дисковыми операциями, сетевым трафиком (например, анализ работы NFS), работ https://mobile.opennet.me/openforum/vsluhforumID3/107320.html#24 Wed, 30 Mar 2016 06:21:00 GMT &gt; procmon + фильтры.<br><br>procmon интересная штука, странно, что я ей раньше не пользовался, беру в арсенал.Спасибо. На виндовс 7 работает, а вот почему -то на виндовс 10 не стартует, но ничего и не сообщает.Прочитать лицензию дала. и тишина<br><br><br> https://mobile.opennet.me/openforum/vsluhforumID3/107320.html#23 Tue, 29 Mar 2016 20:52:55 GMT можно попробовать messsage analyzer<br><br>https://blogs.technet.microsoft.com/messageanalyzer/2015/06/08/process-tracking-with-message-analyzer/<br> https://mobile.opennet.me/openforum/vsluhforumID3/107320.html#22 Tue, 29 Mar 2016 14:39:03 GMT &gt;&gt; Через wireshark <br>&gt;&gt; я вижу эти запросы днс, но от какой они точно программы <br>&gt;&gt; вышли не знаю. То есть, нужен отладчик уровня системных вызовов к <br>&gt;&gt; сетевым сервисам windows <br>&gt; Может помочь мониторинг системных вызовов к Ws2_32.dll. Но для этого нужно запустить <br>&gt; под трейсером/профайлером (допустим под Dr.Memory) конкретный exe-шник.<br>&gt; Виндовый netstat наверное ничего не успеет (он тормоз, а тут короткоживущие UDP <br>&gt; запросы). А вот tcpvcon.exe/tcpview.exe из SysInternals может помочь (не пробовал, но <br>&gt; наверное наиболее подходящее).<br><br>procmon + фильтры.<br><br> https://mobile.opennet.me/openforum/vsluhforumID3/107320.html#21 Tue, 29 Mar 2016 14:22:29 GMT Ну тут придётся иметь в виду, что тут потребуется отлавливать всех, кто открывает файлы на запись, иначе никак. Для файлового хранилища может немного увеличить время выполнения соответствующих системных вызовов. В принципе, всё, что нужно сделать - это выбрать нужный системный вызов. Первое, что приходит на ум по постановке задачи - это sys_open (2). Но может, автор найдёт для себя что-нибудь более подходящее. Может, ему хватит stat для какого-то начального анализа ситуации. Более подробно со списком системных вызовов можно ознакомиться например так:<br>% less ~/linux/linux-4.3.5/arch/x86/entry/syscalls/syscall_64.tbl<br>(предполагая, что в ~/linux/linux-4.3.5 лежат сырцы актуального в системе ядра)<br> https://mobile.opennet.me/openforum/vsluhforumID3/107320.html#20 Tue, 29 Mar 2016 11:50:39 GMT хотя, нет, там имён процессов нет, только доступ<br> https://mobile.opennet.me/openforum/vsluhforumID3/107320.html#19 Tue, 29 Mar 2016 11:44:03 GMT inotifywait -rm &lt;каталог или файл&gt;<br> https://mobile.opennet.me/openforum/vsluhforumID3/107320.html#18 Tue, 29 Mar 2016 10:51:00 GMT &gt; Я так понимаю, что с помощью этой штуки получится отследить какие процессы <br>&gt; что-то записывали в определенные каталоги ФС (или хотя бы открывали файлы <br>&gt; на запись)? Ну например, процессы, которые записывали данные в /home/user/* и <br>&gt; далее по иерархии.<br><br>Легко. Но для этого проще заюзать auditd<br> https://mobile.opennet.me/openforum/vsluhforumID3/107320.html#17 Tue, 29 Mar 2016 10:49:04 GMT В теории. На практике че-то у меня дальше того же самого, что умеет stace не пошло. <br>Хотя, к неосиляторам я себя не отношу ))<br> https://mobile.opennet.me/openforum/vsluhforumID3/107320.html#16 Tue, 29 Mar 2016 09:15:14 GMT <br>&gt; Может помочь мониторинг системных вызовов к Ws2_32.dll. Но для этого нужно запустить <br>&gt; под трейсером/профайлером (допустим под Dr.Memory) конкретный exe-шник.<br>&gt; Виндовый netstat наверное ничего не успеет (он тормоз, а тут короткоживущие UDP <br>&gt; запросы). А вот tcpvcon.exe/tcpview.exe из SysInternals может помочь (не пробовал, но <br>&gt; наверное наиболее подходящее).<br>&gt; P.S. Вообще в винде предусмотрено много таких средств мониторинга (и даже ограничения <br>&gt; активности), ими активно пользуются антивирусы и файерволлы. Может какой-то из навороченных <br>&gt; файерволлов сможет помониторить DNS-запросы.<br><br>Спасибо за обстоятельные ответы, буду искать подходящее решение!<br><br>