1
วิธีบันทึกการเรียกระบบทั้งหมดที่ดำเนินการโดยกระบวนการและการสืบทอดทั้งหมดที่มี auditd
ที่ฉันสามารถทำได้ auditctl -a always,exit -S all -F pid=1234 ในการบันทึกการโทรของระบบทั้งหมดโดย pid 1234 และ: auditctl -a always,exit -S all -F ppid=1234 สำหรับลูกหลานของฉัน แต่ฉันจะครอบคลุมเด็กผู้ยิ่งใหญ่และลูกหลานของพวกเขาได้อย่างไร (ปัจจุบันและอนาคต) ฉันไม่สามารถพึ่งพา (e) uid / (e) gid ที่เปลี่ยนแปลงได้ (โปรดทราบว่าการใช้straceไม่ใช่ตัวเลือกอย่างใดอย่างหนึ่ง)