Используя систему аудита ядра Linux, я проверяю выполнение программ по следующему правилу аудита:
-w /usr/sbin/my-program -p x -k my-program-audit-class
Согласно журналу аудита это похоже на аудит системного вызова execve для конкретного пути программы,
Чтобы сохранить журнал аудита в чистоте, я хочу отменить выполнение my-program, если оно выполняется определенным набором приложений с учетом их пути.
Поскольку PPID доступен в журнале аудитазапись (type=SYSCALL), должны быть некоторые средства для фильтрации по пути родительской программы во время создания журнала аудита, однако я не могу найти решение.
Представление вспомогательных сценариев для очистки аудита.Журнал путем фильтрации позже не является моим предпочтительным вариантом.