কোনও প্রক্রিয়া দ্বারা তৈরি সমস্ত সিস্টেম কল এবং তার সমস্ত বংশধরকে নিরীক্ষণের মাধ্যমে কীভাবে লগ করবেন

আমি করতে পারি

auditctl -a always,exit -S all -F pid=1234

পিড 1234 এর মাধ্যমে সম্পন্ন সমস্ত সিস্টেম কল লগ করতে এবং:

auditctl -a always,exit -S all -F ppid=1234

এর বাচ্চাদের জন্য, তবে আমি কীভাবে গ্র্যান্ড-বাচ্চাদের এবং তাদের সন্তানদের (বর্তমান এবং ভবিষ্যত) আবরণ করব?

আমি (ই) ইউইডি / (ই) গিডের উপর নির্ভর করতে পারি না যা পরিবর্তন হয়।

(দ্রষ্টব্য যে ব্যবহার straceকরা কোনও বিকল্প নয়)

এই মুহুর্তে চেষ্টা করার কোনও উপায় ছাড়াই কেবল কোনও কিছুর প্রস্তাব দেওয়া হচ্ছে ... তবে কেবল পোস্ট থেকেই অনুমান করা

সমাধানের প্রস্তাব এখানে দেওয়া হল:

শীর্ষস্থানীয় প্রক্রিয়া আইডি $ পিডের মধ্যে রয়েছে এবং লিনাক্সের পাশাপাশি ps -Tপ্রক্রিয়াগুলির গাছটি বের করে দেয় (এই মুহুর্তে আমার কাছে লিনাক্সের অ্যাক্সেস থাকতে পারে না)

for eachpid in $(ps -T "$pid" | awk '{print $1}' | grep -v 'PID')
do
   auditctl -a always,exit -S all -F pid=$eachpid  >somelog_${eachpid}.log 2>&1
done

অবশ্যই, ps -T "$pid"লিনাক্সের সমতুল্য সাথে প্রতিস্থাপন করুন , যদি সে লিনাক্সে কাজ না করে (বা "pstree -p" আউটপুটটি অজানা করে খুঁজে পান, পিডটি প্রথম বন্ধনীতে থাকবে)