J'ai configuré auditd sur un système et l'ai fait suivre certains fichiers de configuration d'une application. Je m'attends à ce que l'application elle-même accède à ces fichiers, donc je voudrais savoir quand un fichier a été consulté par l'application et quand quelque chose d'autre y a accédé.Référence croisée d'un pid d'un processus accédant à un fichier au processus qui l'a appelé
Ma première approche était de faire une référence croisée avec le pid ou le ppid que j'obtenais de auditd avec le pid de l'application, qui est contenu dans son fichier pid.
Cependant, les processus sont différents, et le parent des deux est 1 (init), ce qui signifie que nulle part dans l'arbre de processus qu'ils traversent.
Suivre le processus de l'artefact un peu avec strace Je vois qu'il appelle un clone et obtient l'identifiant de processus de celui capturé par auditd.
Ma question est, autre que de suivre constamment le processus original pour les clones, est-il possible de savoir qu'un processus cloné provient d'un autre processus? Ou encore mieux, y a-t-il un moyen d'obtenir ces informations directement de l'auditd d'une manière fiable?
Nouveau sur le forum, pas immédiatement clair pour savoir pourquoi cela a été voté. Si la réponse n'est pas pertinente à la question, sachez pourquoi il serait utile de fournir de l'information. – badsecrets