태그 보관물: linux-audit

linux-audit

프로세스 및 모든 하위 항목에 대한 모든 시스템 호출을 감사 된 상태로 기록하는 방법 시스템 호출을 기록하려면

내가 할 수있는

auditctl -a always,exit -S all -F pid=1234

pid 1234에 의해 수행 된 모든 시스템 호출을 기록하려면 다음을 수행하십시오.

auditctl -a always,exit -S all -F ppid=1234

자녀들을 위해, 어떻게 손자와 자녀들 (현재와 미래)을 커버합니까?

나는 변화하는 (e) uid / (e) gid에 의존 할 수 없다.

(사용 strace도 옵션이 아닙니다)



답변

지금 시도해볼 방법없이 무언가를 제안하기 만하면됩니다.

솔루션 제안은 다음과 같습니다.

최상위 프로세스 ID가 $ pid라고 가정하고 Linux에서도 ps -T프로세스 트리를 제공 한다고 가정합니다 (현재 Linux에 액세스 할 수 없음)

for eachpid in $(ps -T "$pid" | awk '{print $1}' | grep -v 'PID')
do
   auditctl -a always,exit -S all -F pid=$eachpid  >somelog_${eachpid}.log 2>&1
done

물론 ps -T "$pid"리눅스와 동등한 것으로 교체하십시오 . 만약 리눅스에서 작동하지 않는다면 (또는 “pstree -p”출력을 알아 냄으로써 pid는 괄호 사이에 있습니다)


답변