我已经在系统上设置了auditd,并让它跟踪应用程序的一些配置文件。我希望应用程序本身能够访问这些文件,因此我想知道应用程序何时访问文件以及其他程序何时访问该文件。
我的第一个方法是将我从auditd获得的pid或ppid与应用程序的pid(保存在其pid文件中)进行交叉引用。
但是,这两个进程是不同的,并且两者的父进程都是 1 (init),这意味着它们在进程树上没有任何交叉。
使用 strace
稍微跟踪工件的进程,我发现它调用了一个克隆并获取了auditd 捕获的进程 ID。
我的问题是,除了不断跟踪克隆的原始进程之外,还有什么方法可以知道克隆的进程源自另一个进程?或者更好的是,有没有什么方法可以以可靠的方式直接从auditd获取该信息?
最佳答案
您需要实时执行此操作还是正在寻找静态报告?如果您正在寻找静态报告,请尝试:
ausearch -i --file /your/file/path
-i 转换 PID/UID。
关于linux - 将访问文件的进程的 pid 交叉引用到调用该文件的进程,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/42956245/