Surveillez tous les nouveaux processus générés sur une machine Linux

Parfois, un processus va et vient plus vite que je peux ps aux, j'ai essayé watch -d -n0.1 "ps aux | tail"mais encore une fois, cela est limité à 1 / 10ème de seconde. Ce que je veux vraiment, c'est exécuter une commande et suivre tous les nouveaux processus, un par ligne, lorsqu'ils apparaissent. Même des processus rapides. Je sais qu'il stracea des capacités similaires à cela, mais je n'ai pas réussi à le faire faire ce que je veux.

tl;dr : existe-t-il un moyen de consigner tous les nouveaux processus?

Je ne veux pas en savoir beaucoup, pas plus qu'une ligne ps auxne me donnerait, pour le cas actuel j'ai juste un processus qui est engendré par un autre et disparaît, je veux pouvoir le lancer, mais je ne sais pas quelle serait la commande. Même connaître de nouveaux PID serait suffisant, car je pourrais trouver un script qui les prendrait et les exécuterait ps | grepet me donnerait plus d'informations pendant que le processus est en cours (en supposant, espérons-le, qu'il soit toujours là quand il psdémarre)

Que voulez-vous savoir sur ces processus? Si vous pouvez contrôler qui engendre les processus, ce strace -feprocess $SHELLsera le cas.

Si ce n'est qu'un aperçu de leur empreinte, utilisez la comptabilité des processus (dans le paquet gnu acct; utilisez la commande lastcomm), ou des outils de niveau supérieur comme le mode d'enregistrement au sommet. À l'avenir, des outils tels que trace et uprobes seront utiles pour obtenir des informations détaillées sur le noyau.

auditd?

http://linux.die.net/man/8/auditctl

Snoopy pourrait être le bon outil pour votre cas d'utilisation.

Si vous avez besoin d'un enregistreur simple et que vous ne cherchez PAS de solution de sécurité / d'audit, alors Snoopy peut être le cas.

Divulgation: Snoopy mainteneur ici.