Jurnalul execve-urilor, împreună cu procesul părinte argv?

Încerc să-mi dau seama dacă pot dezafecta un server vechi. Am nevoie de informații despre procesele automate care rulează acolo. Până acum am încercat următoarele:

auditctl -a ieșire, întotdeauna -F arch=b64 -S execve -k orice-comenzi

În etapa de analiză a jurnalului, am descoperit două bucăți de context lipsă:

1. Cum au fost executate acele programe? Ce proces a fost părintele lor și care a fost argv?
2. Unde a mers stdin/stdout? În mod ideal, mi-ar plăcea să văd comanda shell reconstruită, dar știu că probabil cer prea multe, așa că cel puțin ar face un ID de descriptor al pipei (pentru a putea încerca să o reconstruiesc cu propriile mele scripturi).

Cum pot aborda o astfel de problemă?

The execve apelul de sistem înlocuiește procesul curent. Dacă un program dorește să-și păstreze controlul după ce a pornit un alt program, mai întâi trebuie să creeze un nou proces (folosind furculiţă sau vfurca) care apoi sună execve.

Descriptorii și permisiunile fișierelor deschise sunt preluate atunci când imaginea programului este înlocuită execve (cu excepția celor marcate cu CLOEXEC flag), astfel încât fișierele deschise sunt moștenite de la procesul părinte în timpul furculiţă, apoi modificat între furculiţă și execve (de exemplu, folosind dup2), și apoi filtrată în final în timpul execve apel.

Deci, obținerea unei imagini complete din datele de audit va fi dificilă.