Linuxに複数のユーザ、クライアントで接続している場合、特定のプロセスを動作させている人が誰かを特定したいときがある。
例えば、特定のファイルをvimで開いている人を調べるとする。
そんなときは、まずpsコマンドで特定のプロセスを確認し、そのプロセスを動作させているttyがどこかを確認する。
ps -ef | grep [v]im
test@test-vm-ubuntu:~$ ps -ef | grep [v]im
test 4059 3961 0 02:27 pts/4 00:00:00 vim /home/test/test.txt
上記の場合、「pts/4」というのがそれに当たる。
次に、wコマンドもしくはwhoコマンドを実行し、pts/4についてを確認する。
w | grep pts/4
who | grep pts/4
test@test-vm-ubuntu:~$ w | grep pts/4
test pts/4 192.168.XXX.XXX 02:27 2:10 0.11s 0.03s vim /home/test/test.txt
test@test-vm-ubuntu:~$
test@test-vm-ubuntu:~$ who | grep pts/4
test pts/4 2015-05-04 02:27 (192.168.XXX.XXX)
あとは、そのIPアドレスを利用している人間を探して確認すればいい。
nbtstatコマンドが入っているようであれば、そのIPアドレスからコンピューター名を調べると、より早く誰が犯人かわかるようになるだろう。