Váš výchozí bod by měl být auditován.
Zkuste něco takového:
apt-get install auditd
auditctl -a task,always
ausearch -i -sc execve
Potřeboval jsem to udělat, kromě (1) nepotřeboval jsem čas a (2) zajímaly mě pouze procesy, které daný proces spouští, a jeho potomci a následné potomky. Také v prostředí, které jsem používal, nebylo možné získat auditd nebo accton , ale bylo tam valgrind .
Před procesem zájmu na příkazovém řádku uveďte následující:
valgrind --trace-children=yes
Informace, které potřebujete, budou ve výstupu protokolu zobrazeném na STDERR.
K tomu můžete použít Snoopy.
Jeho instalace je velmi jednoduchá a od verze 2.x může protokolovat libovolná data (argumenty, proměnné prostředí, cwd atd.).
Zveřejnění:Zde je správce Snoopy.