私はシステム上でauditdをセットアップし、アプリケーションのいくつかの構成ファイルを追跡しました。私は、アプリケーション自体がこれらのファイルにアクセスすることを期待しているので、ファイルがいつアプリケーションによってアクセスされたか、そして何か他のものがそれにアクセスしたことを知りたいと思っています。ファイルを呼び出すプロセスにアクセスするプロセスのpidを相互参照する
私の最初のアプローチは、pidやppidを相互参照することでした。私はauditdから、そのpidファイルで保持されているアプリケーションのpidを取得しています。
しかし、プロセスは異なり、両者の親は1(init)です。これは、プロセスツリーが交差していないことを意味します。
strace
でアーティファクトのプロセスを追跡しています。これは、クローンを呼び出し、auditdによってキャッチされたプロセスIDを取得することがわかります。
私の質問は、クローンの元のプロセスを常に追跡する以外に、クローンされたプロセスが別のプロセスから発生したことを知る方法がありますか?あるいは、より良い方法で、確実に確実にauditdからその情報を取得する方法はありますか?
フォーラムに新しくなったのは、これがなぜ投票されなかったのかがすぐに分かりません。答えが質問に関連していない場合、なぜ情報を提供するのに役立つのかを知っている。 – badsecrets