xterm과 firefox가 모두 syscall=socketcall(recvmsg)을 호출하는 경우 어떻게 구별할 수 있습니까?

---- type=PROCTITLE msg=audit(2017년 9월 3일 일요일^E.370:2020074) : proctitle=/usr/bin/xterm -fg White -bg black type=SOCKETCALL msg=audit(2017년 9월 일요일, 9월 3일^E.370:2020074): nargs=3 a0=0x3 a1=0xbf9a8274 a2=0x0 type=SYSCALL msg=audit(2017년 9월 3일 일요일^E.370:2020074): arch=i386시스템 호출 = 소켓 호출(recvmsg) 성공 = 종료 없음 = EAGAIN(리소스를 일시적으로 사용할 수 없음)a0=recvmsg a1=0xbf9a81f4 a2=0x0 a3=0x0항목=0 ppid=16776 pid=16777 auid=설정 해제 uid=루트 gid=루트 euid=루트 suid=루트 fsuid=루트 egid=루트 sgid=루트 fsgid=루트 tty=(없음) ses=설정 해제comm=xterm exe=/usr/bin/xterm 열쇠 = 멍청이

---- type=PROCTITLE msg=audit(2017년 9월 3일 일요일^E.638:2020105): proctitle=/usr/local/firefox/firefox type=SOCKETCALL msg=audit(2017년 9월 3일 일요일 ^E .638:2020105 ) : nargs=3 a0=0x4 a1=0xbfaf8854 a2=0x0 type=SYSCALL msg=audit (2017년 9월 3일 일요일 ^E.638:2020105 ) : arch=i386시스템 호출 = 소켓 호출(recvmsg)성공 = 종료 없음 = EAGAIN(리소스를 일시적으로 사용할 수 없음)a0=recvmsg a1=0xbfaf87d4 a2=0x0 a3=0xb771f000items=0 ppid=22804 pid=22815 auid=unset uid=geek gid=geek euid=geek suid=geek fsuid=geek egid=geek sgid=geek fsgid=geek tty=(없음) ses=unset comm=firefoxexe=/usr/local/firefox/firefox 열쇠 = 멍청이

나는 다음을 사용하고 있습니다 :

auditctl -a 종료, 항상 -F arch=i686 -S 소켓콜 -k jackass

이것이 도움이 되었지만 위의 예에서는 작동하지 않는 것 같습니다. Suse 감사 문서예-Fa0=1

필터링할 수 있지만 두 통화 모두메시지를 받다이것은 작동하지 않습니다. 사용하는 것을 구별할 수 있는 방법이 필요합니다.a1 a2 a3. SUSE 문서에 따르면 다음과 같습니다.

-F a1=10 필터는 IPv6 프로토콜 계열 도메인 매개변수(PF_INET6)를 전달하는 소켓 시스템 호출에 대한 일치 범위를 좁힙니다.

그러나 이러한 호출에서 a1=0xb5d12130은 읽을 수 없는 횡설수설입니다. 해당 호출의 매개변수 배열에 대한 포인터인 것으로 보입니다.x86의 멀티플렉싱 시스템 호출

int 소켓콜(int 호출, unsigned long *args);

args points to a block containing the actual arguments, which are passed
       through to the appropriate call.