日志管理，以及父进程的argv？

Question

我想弄清楚我能不能让一台旧服务器退役。我需要关于在那里运行的自动化进程的信息。到目前为止，我尝试了以下几点：

auditctl -a exit,always -F arch=b64  -S execve -k any-commands

在日志分析阶段，我发现了两条缺少的上下文：

1. 这些程序是怎么执行的？他们的父母是什么过程，他们的论点是什么？
2. 标准/标准的去哪儿了？理想情况下，我希望看到shell命令重新构建，但我知道我可能要求太多了，所以至少有管道描述符ID就可以了(这样我就可以尝试用我自己的脚本重新构建它)。

我如何处理这个问题呢？

Answer 1

execve系统调用替换当前进程。如果一个程序想在启动另一个程序后保留控制，它需要首先创建一个新进程(使用fork或vfork)，然后调用execve。

当在execve中替换程序映像时，打开的文件描述符和权限被接管(除了那些标记为CLOEXEC标志的文件)，因此打开的文件在fork期间从父进程继承，然后在fork和execve之间修改(例如使用dup2)，然后在execve调用期间最终过滤。

因此，从审计数据中获得完整的信息是很困难的。