Est-ce que qq'un ici a une idée de comment génerer une entrée de log pour auditd lorsqu'un processus se termine ?
Le faire à la création du processus, ou lorsque il se termine de manière anormale est simple, mais je n'arrive pas à trouver comment le faire lorsque le processus se termine normalement. Auditer le syscall exit ne semble pas fonctionner (probablement parce que le système audite à la fin du syscall, et par définition ce syscall ne se termine jamais).
# Probleme regle
Posté par pasBill pasGates . Évalué à 2.
Faut intercepter exit_group aussi et pas seulement exit
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.