[devel] Помогите, пожалуйста, отстроить audit для трассировки запуска pppd

[Anton Farygin]

On 06.11.2014 16:55, Eugine Kosenko wrote:
> Прошу прощения, но сам я в audit не силен, и сейчас нет ни времени ни
> желания с ним разбираться. Желательно быстрое решение в конкретной
> ситуации.
>
> Вот, возникла такая проблема:
>
> https://bugzilla.altlinux.org/show_bug.cgi?id=30449
>
> У других не повторяется, посоветовали протрассировать запуск pppd
> через audit. Идея в том, чтобы поймать, какой процесс посылает сигнал
> `SIGHUP' сразу после запуска pppd (хотя я подозреваю, что проблема
> скорее в самом pppd, а не во "вражеских агентах").
>
> После установки audit и быстрого вникания в README я понял, что нужно
> сделать что-то вроде
>
> # ./auditd
> # ./auditctl -s
> # ./auditctl -a always,exit -S <имя вызова>
> # ifup ppp0
> # ./auditctl -d always,exit -S <имя вызова>
>
> после чего просмотреть результаты через ausearch.
>
> Непонятно, какое имя вызова тут использовать? Как правильно вызвать
> ausearch после этого?
я б поправил запуск pppd в etcnet для отладки, что б он работал через 
autrace

Ну а дальше поиск по pid - man ausearch

auditd не забудьте запустить.