我已经在系统上设置了auditd并让它跟踪应用程序的一些配置文件。我希望应用程序本身可以访问这些文件,所以我想知道应用程序何时访问文件以及何时访问它的文件。
我在这方面的第一个方法是交叉引用pid或ppid我从appd获得应用程序的pid,该应用程序保存在其pid文件中。
但是,进程是不同的,并且两者的父进程都是1(init),这意味着它们交叉的进程树无处可用。
使用strace稍微跟踪工件的过程我发现它需要克隆并获取auditd捕获的进程ID。
我的问题是,除了不断跟踪克隆的原始过程之外,还有什么方法可以知道克隆过程来自另一个过程吗?或者甚至更好,有没有办法以可靠的方式直接从auditd获取信息?
答案 0 :(得分:-1)
您是否需要实时执行此操作,还是在寻找静态报告?如果您正在寻找静态报告,请尝试:
ausearch -i --file /your/file/path
-i转换PID / UID。