cddl/contrib/dtracetoolkit/Man/man1m/execsnoop.1m

   1 .TH execsnoop 1m  "$Date:: 2007-08-05 #$" "USER COMMANDS"
   2 .SH NAME
   3 execsnoop \- snoop new process execution. Uses DTrace.
   4 .SH SYNOPSIS
   5 .B execsnoop
   6 [\-a|\-A|\-ejhsvZ] [\-c command]
   7 .SH DESCRIPTION
   8 execsnoop prints details of new processes as they are executed.
   9 Details such as UID, PID and argument listing are printed out.
  10
  11 This program is very useful to examine short lived processes that would
  12 not normally appear in a prstat or "ps -ef" listing. Sometimes
  13 applications will run hundreds of short lived processes in their
  14 normal startup cycle, a behaviour that is easily monitored with execsnoop.
  15
  16 Since this uses DTrace, only the root user or users with the
  17 dtrace_kernel privilege can run this command.
  18 .SH OS
  19 Solaris
  20 .SH STABILITY
  21 stable - needs the syscall provider.
  22 .SH OPTIONS
  23 .TP
  24 \-a
  25 print all data
  26 .TP
  27 \-A
  28 dump all data, space delimited
  29 .TP
  30 \-e
  31 safe output, parseable. This prevents the ARGS field containing "\\n"s,
  32 to assist postprocessing.
  33 .TP
  34 \-j
  35 print project ID
  36 .TP
  37 \-s
  38 print start time, us
  39 .TP
  40 \-v
  41 print start time, string
  42 .TP
  43 \-Z
  44 print zonename
  45 .TP
  46 \-c command
  47 command name to snoop
  48 .SH EXAMPLES
  49 .TP
  50 Default output, print processes as they are executed,
  51 #
  52 .B execsnoop
  53 .TP
  54 Print human readable timestamps,
  55 #
  56 .B execsnoop
  57 \-v
  58 .TP
  59 Print zonename,
  60 #
  61 .B execsnoop
  62 \-Z
  63 .TP
  64 Snoop this command only,
  65 #
  66 .B execsnoop
  67 \-f ls
  68 .PP
  69 .SH FIELDS
  70 .TP
  71 UID
  72 User ID
  73 .TP
  74 PID
  75 Process ID
  76 .TP
  77 PPID
  78 Parent Process ID
  79 .TP
  80 COMM
  81 command name for the process
  82 .TP
  83 ARGS
  84 argument listing for the process
  85 .TP
  86 ZONE
  87 zonename
  88 .TP
  89 PROJ
  90 project ID
  91 .TP
  92 TIME
  93 timestamp for the exec event, us
  94 .TP
  95 STRTIME
  96 timestamp for the exec event, string
  97 .SH DOCUMENTATION
  98 See the DTraceToolkit for further documentation under the
  99 Docs directory. The DTraceToolkit docs may include full worked
 100 examples with verbose descriptions explaining the output.
 101 .SH EXIT
 102 execsnoop will run forever until Ctrl\-C is hit.
 103 .SH AUTHOR
 104 Brendan Gregg
 105 [Sydney, Australia]
 106 .SH SEE ALSO
 107 dtrace(1M), truss(1)
 108