發現 find 命令執行的根本原因

今天早上我進來發現我的硬碟驅動器燈一直亮著。這很不尋常，所以我跑過去iotop看到一個find命令正在搜尋我的文件系統。

我決定執行ps auxZ以轉儲帶有 SELinux 標籤的程序。事實證明該find命令是在安全上下文下執行的locate_t。

基於此，我得出結論，這是一次locate數據庫更新。

我想知道如何在不查看程序的安全標籤的情況下快速得出相同的結論？

想到兩個想法：

1. 的父程序find將指示哪個程序呼叫了它；遵循該流程樹可能會導致您locate；這是我從 bash shell 呼叫它的範例：

(sample "ps" output to capture the "find" command)
UID        PID  PPID  C STIME TTY          TIME CMD
user     26847 20786  0 09:01 pts/0    00:00:00 find ..

$ ps -fp 20786
UID        PID  PPID  C STIME TTY          TIME CMD
user     20786 20785  0 07:35 pts/0    00:00:00 -bash

或者，正如cas建議的那樣，執行pstree -a -p | less目前程序的圖形表示；找到find命令並從左到上跟踪它的行。 2. 確定find命令的開始時間可以將您指向計劃的 cron 作業；查看您的系統 crontab 文件（/etc/anacrontab、/etc/cron.daily、/etc/cron.weekly、/etc/cron.monthly、/var/spool/cron/root 等）。

引用自：https://unix.stackexchange.com/questions/692675