Đăng nhập execve's, cùng với quá trình mẹ argv?

Tôi đang cố gắng tìm hiểu xem liệu tôi có thể ngừng hoạt động của một máy chủ cũ hay không. Tôi cần thông tin về các quy trình tự động đang chạy ở đó. Cho đến nay tôi đã thử như sau:

auditctl -a thoát, luôn luôn -F arch=b64 -S execve -k bất kỳ lệnh nào

Ở giai đoạn phân tích nhật ký, tôi phát hiện ra hai phần ngữ cảnh bị thiếu:

1. Làm thế nào mà những chương trình được thực hiện? Quá trình nào là cha mẹ của chúng và argv của nó là gì?
2. stdin/stdout đã đi đâu? Lý tưởng nhất là tôi muốn thấy lệnh trình bao được xây dựng lại, nhưng tôi biết có lẽ tôi đang yêu cầu quá nhiều, vì vậy ít nhất có ID bộ mô tả đường ống sẽ làm được (để tôi có thể cố gắng xây dựng lại nó bằng các tập lệnh của riêng mình).

Làm thế nào tôi có thể tiếp cận một vấn đề như vậy?

Các điều hành cuộc gọi hệ thống thay thế quá trình hiện tại. Nếu một chương trình muốn giữ lại quyền kiểm soát sau khi bắt đầu một chương trình khác, trước tiên, nó cần tạo một quy trình mới (sử dụng cái nĩa hoặc vfork) sau đó gọi điều hành.

Các bộ mô tả và quyền của tệp đang mở sẽ được sử dụng khi hình ảnh chương trình được thay thế trong điều hành (ngoại trừ những thứ được đánh dấu bằng CLOEXEC cờ), vì vậy các tệp đang mở được kế thừa từ tiến trình cha trong khi cái nĩa, sau đó được sửa đổi giữa cái nĩa và điều hành (ví dụ: sử dụng dup2), và cuối cùng được lọc trong quá trình điều hành cuộc gọi.

Vì vậy, việc có được một bức tranh hoàn chỉnh từ dữ liệu kiểm toán sẽ khó khăn.