Для начала необходимо установить auditd, находится на диске со средствами разработки
sudo apt-get install
Далее добавить правила на системные вызовы kill и exit_groupauditd audispd-plugins
Есть два варианта
С помощью команды auditctl
Подробнее по параметрам:auditctl -a exit,always -F arch=b64 -S kill -k kill_process
auditctl -a exit,always -F arch=b64 -S exit_group -k kill_process
-a exit,always определяет список, куда попадет событие, в данном случае exit, always означает что событие будет записываться всегда
-F arch=b64 определяет архитектуру
-S kill определяет имя отслеживаемого системного вызова, в данном случае kill
-k kill_process задает имя ключа для облегчения поискаС помощью файла /etc/audit/audit.rules
В него необходимо добавить строки, повторяющие ключи и параметры команды auditctl, как на примере выше-a exit,always -F arch=b64 -S kill -k kill_process -a exit,always -F arch=b64 -S exit_group -k kill_process
После этого события можно отслеживать командой
ausearch -k kill_process
Или искать любыми средствами в файле /var/log/audit/audit.log