当一个进程被终止时，这个信息会被记录在哪里？

如果您的Linux内核启用了进程账户（CONFIG_BSD_PROCESS_ACT）选项，则可以使用accton（8）命令开始记录进程账户信息，并使用sa（8）访问记录的信息。记录的信息包括32位退出代码，其中包括信号编号。
（这些东西现在不是很常见/使用，但我仍然记得在VAX上的4.x Bsd时代...）

修改后: 简而言之，操作系统内核并不在意进程是否被终止。这取决于进程是否记录日志。此时内核关心的仅是回收内存。但请继续阅读，了解如何捕获和记录它...
根据caf和Stephen C在他们的评论中提到的内容...

1. 如果您在内核中运行BSD会计守护程序模块，则会记录所有内容。感谢Stephen C指出这一点! 我没有意识到这个功能，因为我已经关闭/禁用了它。
2. 从我的角度来看，根据caf的评论——不能捕获的两个信号是SIGKILL和SIGSTOP，以及我提到的atexit，我在代码中描述了它应该是exit(0);..ooops 谢谢caf!

原文:

最好的方法是使用信号处理程序来处理一些信号，不仅仅是单独的SIGKILL就足够了，SIGABRT(abort)，SIGQUIT(终端程序退出)，SIGSTOP和SIGHUP(挂起)。这些信号一起可以捕获命令行上的kill命令。然后，信号处理程序可以记录存储在/var/log/messages（环境相关或Linux发行版相关）中的信息。有关详细信息，请参见此处。

另请参见此处，了解如何使用sigaction函数使用信号处理程序的示例。

还应该采用atexit函数的用法，然后当代码在运行时退出时，运行时将执行最后一个函数，然后返回到命令行。有关atexit的参考资料在此处。

当使用C函数exit并执行时，会执行应用于下面示例中的函数指针的atexit函数。- 感谢caf提供的信息!

以下是atexit的示例用法:

#include <stdlib.h>
int main(int argc, char **argv){
   atexit(myexitfunc); /* 在声明之后立即执行 */
    /* 其余的代码 */
   return 0;
   exit(0);
}
int myexitfunc(void){
   fprintf(stdout, "Goodbye cruel world...\n"); /* 告别信息输出到标准输出流 */
}

希望对您有所帮助。 最好的问候， Tom。

我不知道有没有记录发送给进程的信号，除非OOM killer在执行此操作。

如果您使用sudo，它将被记录。除此之外，被终止的进程可以记录一些信息（除非它被极端手段终止）。您甚至可以黑掉内核以记录信号。

至于记录进程被杀死的原因，我还没有见过心灵感应程序。

内核编程不适合胆小者，但非常有趣。您需要修补信号分发例程，使用printk(9)在调用kill(3)、sigsend(2)或类似函数时记录信息。阅读“The Linux Signals Handling Model”获取有关信号处理的更多信息。

如果您正在编写自己的程序，您可以捕获kill信号并在实际死亡之前写入日志文件。但是这对于kill -9无效，只适用于普通的kill。

您可以在thisaway上查看一些详细信息。

如果进程是通过kill(2)获取的，那么除非该进程已经记录了唯一的外部跟踪，否则内核模块将会很简单。只需执行printk()，就像printf()一样。在dmesg中查找输出。

如果进程是通过/bin/kill获取的，则安装一个包含日志记录功能的包装可执行文件相对容易。但这种情况（通过/bin/kill传递信号）不太可能发生，因为kill也是bash内置命令之一。

顺便说一下，如果一个进程被信号终止（killed），内核会通过wait(2)系统调用向父进程通知。这个调用返回的值是子进程的退出状态（低字节），以及一些与信号相关的信息（高字节），以表示该进程是否已被终止。有关更多信息，请参阅wait(2)。