Перекрестная ссылка на pid процесса, обращающегося к файлу, к процессу, который его вызвал

Я настроил на системе Audit и проследил за некоторыми файлами конфигурации приложения. Я ожидаю, что само приложение получит доступ к этим файлам, поэтому я хотел бы знать, когда приложение получило доступ к файлу и когда к нему обратились другие пользователи.

Мой первый подход к этому заключался в перекрестной ссылке на pid или ppid, который я получаю от audd, с pid приложения, которое содержится в файле pid.

Тем не менее, процессы разные, и родительский элемент для обоих - 1 (init), что означает, что нигде не пересекается дерево процессов.

Отслеживание процесса артефакта немного с strace Я вижу, что он вызывает клон и получает идентификатор процесса, который перехватил аудит.

Мой вопрос, кроме постоянного отслеживания исходного процесса для клонов, есть ли способ узнать, что клонированный процесс произошел от другого? Или даже лучше, есть ли способ получить эту информацию напрямую из Audit надежным способом?