tôi có thể làm
auditctl -a always,exit -S all -F pid=1234
Để ghi nhật ký tất cả các cuộc gọi hệ thống được thực hiện bởi pid 1234 và:
auditctl -a always,exit -S all -F ppid=1234
Đối với con của nó, nhưng làm thế nào để tôi bao gồm các cháu và các con của họ (hiện tại và tương lai)?
Tôi không thể dựa vào (e) uid / (e) gid mà thay đổi.
(lưu ý rằng sử dụng strace
không phải là một tùy chọn)
strace -s
^^ nhưng sau đó tôi thấy ai đang hỏi và ngay lập tức biết "anh ấy đã biết điều đó rồi!") ... Stephane, bạn có thể có thể: 1) xây dựng danh sách các pids bằng cách sử dụng tùy chọn "cây" của ps, 2) khởi chạy audctl (s) trên tất cả các pids được liệt kê trong cây? (ví dụ: bạn có thể có nhiều "pid = ...."? hoặc nhiều audctl, mỗi cái một không?) hoặc cách "ngu ngốc": audctl mọi thứ và một số loại egrep trên "pid | pid | pid" nếu chúng có xuất hiện trên mỗi dòng không?) (báo trước: Tôi không có quyền truy cập vào máy tính linux, vì vậy tôi không biết infos xuất hiện như thế nào)