出発点は auditd である必要があります。
次のようにしてみてください:
apt-get install auditd
auditctl -a task,always
ausearch -i -sc execve
これを行う必要がありましたが、(1) 時間が必要なかったことと、(2) 特定のプロセスによって開始されたプロセス、およびその子とそれに続く子孫にのみ関心があったことを除きます。また、使用していた環境では auditd が取得できませんでした。 または accton 、しかし valgrind ありました .
コマンドラインで対象のプロセスに次のプレフィックスを付けます:
valgrind --trace-children=yes
必要な情報は、STDERR に表示されるログ出力にあります。
これにはスヌーピーを使用できます。
インストールは非常に簡単で、2.x 以降では任意のデータ (引数、環境変数、cwd など) をログに記録できます。
開示:スヌーピーのメンテナーはこちら