微軟最近為Windows Sysinternals工具集中的Process Monitor應用程序打造了Linux版本，並將其以MIT協議開源了出來。Process Monitor（以下簡稱Procmon）是一種進程監控工具，為開發者提供了簡便有效的方式來跟踪系統調用（syscall）活動。該工具能夠幫助診斷程序崩潰、資源佔用率過高，甚至是潛在的惡意感染等問題。

▲ Windows上的Procmon

Sysinternals 工具集在Windows 上堪稱經典，功能強大。現在，Linux 用戶也可以嘗試使用Procmon 來監控系統進程。

▲Linux 上的 Procmon

在Linux上使用Procmon時，可以使用以下參數指定要監視的進程ID或特定的系統調用：

Usage: procmon [OPTIONS]
   OPTIONS
      -h/--help Prints this help screen
      -p/--pids Comma separated list of process ids to monitor
      -e/--events Comma separated list of system calls to monitor
      -c/--collect [FILEPATH] Option to start Procmon in a headless mode
      -f/--file FILEPATH Open a Procmon trace file

假設要監視進程ID 738 和2657：

sudo procmon -p 738,2657

若要監視PID 738 列出的所有讀寫調用，可以使用以下命令：

sudo procmon -p 738 -e read,write

目前，構建Linux 版Procmon 應用需要 Ubuntu 18.04 LTS 版本，內核要求4.18 及以上，並且不高於5.3 版本。