Linux 将访问文件的进程的pid交叉引用到调用该文件的进程

我在一个系统上设置了auditd，并让它跟踪应用程序的一些配置文件。我希望应用程序本身能够访问这些文件，所以我想知道应用程序何时访问了一个文件，以及其他人何时访问了它

我的第一种方法是将我从auditd获得的pid或ppid与应用程序的pid交叉引用，pid保存在应用程序的pid文件中

然而，这两个进程是不同的，它们的父进程都是1（init），这意味着它们在进程树上没有交叉的地方

使用

strace

稍微跟踪工件的进程，我看到它调用了一个克隆，并获得了auditd捕获的进程id

---

我的问题是，除了不断跟踪克隆的原始进程外，还有什么方法可以知道克隆的进程来自另一个进程？或者更好的是，是否有任何方法可以以可靠的方式直接从auditd获取这些信息？

您需要实时获取这些信息，还是在寻找静态报告？如果要查找静态报告，请尝试：

ausearch -i --file /your/file/path

---

-我翻译PIDs/UIDs

论坛的新成员，不清楚为什么会被否决。如果答案与问题无关，那么知道为什么在帮助提供相关信息时会有用。