ich kann
auditctl -a always,exit -S all -F pid=1234
So protokollieren Sie alle Systemaufrufe von PID 1234 und:
auditctl -a always,exit -S all -F ppid=1234
Für seine Kinder, aber wie decke ich die Enkel und ihre Kinder (gegenwärtig und zukünftig) ab?
Ich kann mich nicht auf (e) uid / (e) gid verlassen, die sich ändern.
(Beachten Sie, dass die Verwendung auch strace
keine Option ist.)
linux
audit
linux-audit
Stéphane Chazelas
quelle
quelle
strace -s
^^ aber dann habe ich sah , wer fragte , und wusste sofort , „er , dass schon weiß!“) ... Stephane, können Sie Vielleicht: 1) Erstelle die Liste der Pids mit der "Baum" -Option von ps, 2) starte auditctl (s) für alle im Baum aufgelisteten Pids? (dh können Sie mehrere "pid = ...." oder mehrere auditctl haben, jeweils auf einem?) oder die "dumme" Methode: auditctl alles und eine Art egrep auf dem "pid | pid | pid", wenn sie erscheinen in jeder Zeile?) (Vorsichtsmaßnahme: Ich habe keinen Zugang zu Linux Atm, daher habe ich keine Ahnung, wie Infos erscheinen)Antworten:
Schlagen Sie einfach etwas vor, ohne dass Sie es jetzt ausprobieren können ... aber raten Sie einfach von der Post aus
Hier ist ein Lösungsvorschlag:
Angenommen, die oberste Prozess-ID befindet sich in $ pid, und auch unter Linux wird der Prozessbaum ausgegeben
ps -T
(ich kann momentan nicht auf Linux zugreifen).Ersetzen Sie natürlich durch
ps -T "$pid"
das Äquivalent für Linux, wenn dieses unter Linux nicht funktioniert (oder indem Sie die Ausgabe "pstree -p" aktivieren, wird die pid in Klammern gesetzt).quelle