Вы можете отодвинуть исходный исполняемый файл в сторону и заменить его оболочкой, которая запускает оригинал, сообщая, когда он запускается и завершается.
Вы можете посмотреть на команды accton и lastcomm, которыезапишите начало и завершение каждого процесса в системе.
Вы можете использовать dtrace, который определенно может выполнить то, что вы просите, но его довольно сложно использовать.Вам, вероятно, придется сделать немало обучения, чтобы сделать это.Я не очень разбираюсь в написании сценариев dtrace, но, вероятно, я бы начал с execsnoop в качестве моей модели.