Cómo registrar todas las llamadas al sistema realizadas por un proceso y todos sus descendientes con auditado
puedo hacer auditctl -a always,exit -S all -F pid=1234 Para registrar todas las llamadas al sistema realizadas por pid 1234 y: auditctl -a always,exit -S all -F ppid=1234 Para sus hijos, pero ¿cómo cubro a los nietos y a sus hijos también (actuales y futuros)? No puedo confiar en (e) uid /...