Usando execsnoop -v, observo um erro do dtrace para dois processos. ID3 (ID 630) e ID2 (ID 360).
~ 03:59 am ∆:ps -p 260
PID TTY TIME CMD
260 ?? 0:02.36 /usr/libexec/UserEventAgent (Aqua)
~ 03:59 am ∆:ps -p 630
PID TTY TIME CMD
~ 03:59 am ∆:sudo execsnoop -v
Password:
STRTIME UID PID PPID ARGS
dtrace: error on enabled probe ID 2 (ID 260: syscall::execve:return): invalid >kernel access in action #8 at DIF offset 0
dtrace: error on enabled probe ID 3 (ID 630: syscall::posix_spawn:return): >invalid kernel access in action #8 at DIF offset 0
dtrace: error on enabled probe ID 3 (ID 630: syscall::posix_spawn:return): >invalid kernel access in action #8 at DIF offset 0
dtrace: error on enabled probe ID 3 (ID 630: syscall::posix_spawn:return): >invalid kernel access in action #8 at DIF offset 0
dtrace: error on enabled probe ID 3 (ID 630: syscall::posix_spawn:return): >invalid kernel access in action #8 at DIF offset 0
dtrace: error on enabled probe ID 3 (ID 630: syscall::posix_spawn:return): >invalid kernel access in action #8 at DIF offset 0
dtrace: error on enabled probe ID 3 (ID 630: syscall::posix_spawn:return): >invalid kernel access in action #8 at DIF offset 0
dtrace: error on enabled probe ID 3 (ID 630: syscall::posix_spawn:return): >invalid kernel access in action #8 at DIF offset 0
dtrace: error on enabled probe ID 3 (ID 630: syscall::posix_spawn:return): >invalid kernel access in action #8 at DIF offset 0
dtrace: error on enabled probe ID 3 (ID 630: syscall::posix_spawn:return): >invalid kernel access in action #8 at DIF offset 0
dtrace: error on enabled probe ID 3 (ID 630: syscall::posix_spawn:return): >invalid kernel access in action #8 at DIF offset 0
dtrace: error on enabled probe ID 2 (ID 260: syscall::execve:return): invalid >kernel access in action #8 at DIF offset 0
^C
~ 04:01 am ∆:ps -p 3
PID TTY TIME CMD
~ 04:01 am ∆:ps -p 2
PID TTY TIME CMD
Meu entendimento é que isso é gerado por um processo que mantém o dtrace ativo para esse processo.
Observo que os processos não aparecem na lista de comandos principal nem no Activity Monitor. Os dois processos se repetem com uma reinicialização completa e, portanto, são consistentes e eu presumo algum processo do OSX. Apenas confuso que eles não podem ser totalmente identificados.
Curioso para entender o que está acontecendo aqui.