Su punto de partida debe ser auditado.
Prueba algo como esto:
apt-get install auditd
auditctl -a task,always
ausearch -i -sc execve
Necesitaba hacer esto, excepto (1) no necesitaba el tiempo y (2) solo estaba interesado en los procesos iniciados por un proceso determinado y sus hijos y descendientes posteriores. Además, en el entorno que estaba usando, no era posible obtener auditd o accton , pero había valgrind .
Prefije lo siguiente al proceso de interés en la línea de comando:
valgrind --trace-children=yes
La información que necesita estará en la salida del registro que se muestra en STDERR.
Podrías usar a Snoopy para esto.
Es muy simple de instalar y desde 2.x puede registrar datos arbitrarios (argumentos, variables ambientales, cwd, etc.).
Divulgación:mantenedor de Snoopy aquí.