Em geral, somente se você registrá-lo no momento. Provavelmente, a maneira mais direta seria usar os recursos de auditoria do kernel usando o auditd e configurar as chamadas do sistema que você se importa sobre o registro.
Após o término de um processo, é possível recuperar qualquer informação sobre ele, como quando ele foi iniciado e concluído, & c.
É possível ativar o registro dessas informações?
Em geral, somente se você registrá-lo no momento. Provavelmente, a maneira mais direta seria usar os recursos de auditoria do kernel usando o auditd e configurar as chamadas do sistema que você se importa sobre o registro.
Veja a lista de ferramentas que abordamos nesta seção Perguntas e respostas: Comandos para determinar o nível de uso do servidor . Esta resposta cobriu auditd como @ChrisDown em destaque, além de várias outras ferramentas para rastrear o uso após o fato, como sar
, lastcomm
e contabilidade de processo, entre outros.