親プロセスが既知の場合、子プロセスの非常に短いIDを取得する方法は？

Question

監査システムを使用できます。

sudo auditctl -a exit,always -S execve -F ppid="$pid"

$pid子プロセスがコマンドを実行するたびに監査エントリが生成されます。audit.log次のようなものがあります。

type=SYSCALL msg=audit(1373986729.977:377): arch=c000003e syscall=59 success=yes exit=0 a0=7ff000e4b188 a1=7ff000e4b1b0 a2=7fff928d47e8 a3=7fff928caac0 items=2 ppid=7502 pid=691 auid=10031 uid=10031 gid=10031 euid=10031 suid=10031 fsuid=10031 egid=10031 sgid=10031 fsgid=10031 ses=1 tty=pts5 comm="echo" exe="/bin/echo" key=(null)
type=EXECVE msg=audit(1373986729.977:377): argc=2 a0="/bin/echo" a1="test"
type=CWD msg=audit(1373986729.977:377):  cwd="/tmp"
type=PATH msg=audit(1373986729.977:377): item=0 name="/bin/echo" inode=131750 dev=fe:00 mode=0100755 ouid=0 ogid=0 rdev=00:00

pidそこから他のものを見つけることができます。

特定のタスクを実行する必要がないプロセスに興味がある場合と、forkシステムコールのclone監査ルールを追加できます。

Answer 1

監査システムを使用できます。

sudo auditctl -a exit,always -S execve -F ppid="$pid"

$pid子プロセスがコマンドを実行するたびに監査エントリが生成されます。audit.log次のようなものがあります。

type=SYSCALL msg=audit(1373986729.977:377): arch=c000003e syscall=59 success=yes exit=0 a0=7ff000e4b188 a1=7ff000e4b1b0 a2=7fff928d47e8 a3=7fff928caac0 items=2 ppid=7502 pid=691 auid=10031 uid=10031 gid=10031 euid=10031 suid=10031 fsuid=10031 egid=10031 sgid=10031 fsgid=10031 ses=1 tty=pts5 comm="echo" exe="/bin/echo" key=(null)
type=EXECVE msg=audit(1373986729.977:377): argc=2 a0="/bin/echo" a1="test"
type=CWD msg=audit(1373986729.977:377):  cwd="/tmp"
type=PATH msg=audit(1373986729.977:377): item=0 name="/bin/echo" inode=131750 dev=fe:00 mode=0100755 ouid=0 ogid=0 rdev=00:00

pidそこから他のものを見つけることができます。

特定のタスクを実行する必要がないプロセスに興味がある場合と、forkシステムコールのclone監査ルールを追加できます。

親プロセスが既知の場合、子プロセスの非常に短いIDを取得する方法は？

ベストアンサー1

おすすめ記事