auditdを使用してプロセスとすべての子孫で実行されたすべてのシステムコールを記録する方法

Question

いくつかの提案をしただけで、今すぐ試してみる方法はありません...ただ投稿自体から推測するだけです。

解決策の提案は次のとおりです。

最上位のプロセスIDが$ pidにあり、ps -TプロセスツリーもLinuxに提供されているとします（今はLinuxにアクセスできません）。

for eachpid in $(ps -T "$pid" | awk '{print $1}' | grep -v 'PID')
do
   auditctl -a always,exit -S all -F pid=$eachpid  >somelog_${eachpid}.log 2>&1
done

もちろんps -T "$pid"、Linuxで動作しない場合は、Linuxに対応するものに置き換えてください（または、「pstree -p」出力をawk-ingして見つけた場合、pidは角かっこの間に表示されます）。

Answer 1

いくつかの提案をしただけで、今すぐ試してみる方法はありません...ただ投稿自体から推測するだけです。

解決策の提案は次のとおりです。

最上位のプロセスIDが$ pidにあり、ps -TプロセスツリーもLinuxに提供されているとします（今はLinuxにアクセスできません）。

for eachpid in $(ps -T "$pid" | awk '{print $1}' | grep -v 'PID')
do
   auditctl -a always,exit -S all -F pid=$eachpid  >somelog_${eachpid}.log 2>&1
done

もちろんps -T "$pid"、Linuxで動作しない場合は、Linuxに対応するものに置き換えてください（または、「pstree -p」出力をawk-ingして見つけた場合、pidは角かっこの間に表示されます）。

auditdを使用してプロセスとすべての子孫で実行されたすべてのシステムコールを記録する方法

ベストアンサー1

おすすめ記事