1
如何记录已审核的流程及其后代的所有系统调用
我可以 auditctl -a always,exit -S all -F pid=1234 要记录由pid 1234完成的所有系统调用,并且: auditctl -a always,exit -S all -F ppid=1234 对于它的孩子们,但是我又该如何照顾他们的孙子及其子孙(当前和将来)? 我不能依靠确实改变的(e)uid /(e)gid。 (请注意,使用strace也不是一种选择)