文件与进程管理
进程分析
了解如何使用进程分析功能
仅 Linux 平台支持
基于进程 PID、监听端口或进程名称,快速获取进程详细信息,包括:
- 进程详情 — PID、用户、CPU/内存占用、命令行、可执行文件路径、工作目录、启动时间
- 进程树 — 从当前进程到 PID 1 的完整祖先链
- 容器检测 — 自动识别 Docker / containerd / podman 容器环境
- 网络连接 — TCP/UDP 连接列表,按状态排序(LISTEN 优先)
- 服务信息 — 关联的 systemd 服务名称、状态、Unit 文件路径
- 风险标红 — 自动以红色高亮可疑特征:root 用户、CPU 或内存占用超过 50%、可执行文件已被删除(路径以
(deleted)结尾)、僵尸进程(标记为[zombie])
查询方式
进程分析支持三种查询方式,可根据已知信息灵活选择。
WebUI 查询
在 Web 控制台 的 Investigations 页面中选择 Process Analysis,选择 Linux 客户端后按 PID、监听端口或进程名查询。也可以在 Clients 列表中点击目标客户端的 Process 快捷入口,WebUI 会自动选中该客户端并打开进程分析表单。
WebUI 会展示同样的进程详情、进程树、网络连接、容器和服务信息。按进程名匹配到多个结果时,会先列出候选进程,点击候选 PID 可继续查询完整详情。
按 PID 查询
./siren info <PID>按监听端口查询
当你知道目标进程监听的端口号时:
./siren info -p <Port>按进程名称查询
支持模糊匹配,适合不确定 PID 时使用:
./siren info -n <Process Name>提示
按名称(-n)匹配到多个进程时,只列出每个匹配的 PID 与命令行,并提示使用精确 PID 重新查询(info <PID>);按端口(-p)查询始终只返回监听该端口的第一个进程。