我的情况是,一个特定的进程(在这种情况下,它是 Thunderbird)不时对用户输入做出反应一分钟左右。我发现iotop在这段时间内使用它,它向磁盘写入了很多内容,现在我想找出它写入哪个文件,但不幸的是iotop只提供每个进程的统计信息,而不是每个打开的文件(-描述符)。
我知道我可以用它lsof来找出进程当前打开了哪些文件,但当然 Thunderbird 已经打开了很多文件,所以这没有那么有用。iostat仅显示每个设备的统计信息。
这个问题只是随机发生的,它可能需要很长时间才能出现,所以我希望我不必跟踪 Thunderbird 并浏览长日志来找出哪个文件的写入次数最多。
我试图记录 的参数connect,所以我添加了一个规则auditctl.
现在在 audit.log 中我得到这样的行:
type=SOCKADDR msg=audit(1385638181.866:89758729):saddr=十六进制字符串
那么我应该如何解释十六进制字符串中的目标地址(我不确定该十六进制字符串中存储了什么)?