Você pode registrar todas as invocações de um executável específico (setuid ou não) através do subsistema de auditoria . A documentação é bastante esparsa; comece com a página man do auditctl , ou talvez este tutorial . As distribuições mais recentes enviam um pacote auditd
. Instale-o e verifique se o daemon auditd
está em execução e faça
auditctl -A exit,always -F path=/path/to/executable -S execve
e veja as chamadas serem registradas em /var/log/audit/audit.log
(ou onde quer que sua distribuição tenha configurado isso).