Журнал execve вместе с родительским процессом argv?

Я пытаюсь выяснить, могу ли я вывести из эксплуатации старый сервер. Мне нужна информация об автоматизированных процессах, запущенных там. До сих пор я пробовал следующее:

auditctl -a выход, всегда -F arch=b64 -S execve -k любые команды

На этапе анализа журнала я обнаружил отсутствие двух частей контекста:

1. Как эти программы выполнялись? Какой процесс был их родителем и каков был его аргумент?
2. Куда делся стандартный ввод/вывод? В идеале я хотел бы увидеть реконструированную команду оболочки, но я знаю, что, вероятно, прошу слишком многого, поэтому, по крайней мере, наличие идентификатора дескриптора канала (чтобы я мог попытаться воссоздать его с помощью своих собственных сценариев).

Как я могу подойти к такой проблеме?

руководитель системный вызов заменяет текущий процесс. Если программа хочет сохранить управление после запуска другой программы, ей нужно сначала создать новый процесс (используя вилка или же вилка), который затем вызывает руководитель.

Дескрипторы и разрешения открытых файлов перенимаются при замене образа программы в руководитель (кроме отмеченных КЛОЭКСЕК флаг), поэтому открытые файлы наследуются от родительского процесса во время вилка, затем измененный между вилка и руководитель (например, с помощью дубликат2), а затем, наконец, фильтруется во время руководитель вызов.

Так что получить полную картину из данных аудита будет сложно.