O exemplo acima é uma tentativa de monitorar syscalls com faild e então determinar quando / se foi devido a ulimit - acho que é o mais próximo que você pode conseguir sem modificar o kernel e / ou o PAM para despejar diretamente esses eventos para logar .