dapat saya lakukan
auditctl -a always,exit -S all -F pid=1234
Untuk mencatat semua panggilan sistem yang dilakukan oleh pid 1234 dan:
auditctl -a always,exit -S all -F ppid=1234
Untuk anak-anaknya, tetapi bagaimana cara saya mencakup anak-anak cucu dan anak-anak mereka (saat ini dan masa depan)?
Saya tidak bisa mengandalkan (e) uid / (e) gid yang melakukan perubahan.
(perhatikan bahwa menggunakan strace
bukan merupakan pilihan juga)
strace -s
^^ tetapi kemudian saya melihat siapa yang bertanya dan segera tahu "dia sudah tahu itu!") ... Stephane, bisakah Anda mungkin: 1) membuat daftar pids menggunakan opsi "tree" dari ps, 2) meluncurkan auditctl pada semua pids yang tercantum di dalam tree? (yaitu, dapatkah Anda memiliki beberapa "pid = ...."? atau beberapa auditctl, masing-masing satu?) atau cara "bodoh": auditctl segalanya, dan beberapa jenis egrep pada "pid | pid | pid" jika mereka muncul di setiap baris?) (peringatan: Saya tidak memiliki akses ke atm linux, jadi saya tidak tahu bagaimana info muncul)