Я пришел к аналогичной проблеме, и я смог разобраться с ней на основе этого ответа ioerror, используя NFLOG, как описано здесь:
# iptables -A OUTPUT -m owner --uid-owner 1000 -j CONNMARK --set-mark 1
# iptables -A INPUT -m connmark --mark 1 -j NFLOG --nflog-group 30
# iptables -A OUTPUT -m connmark --mark 1 -j NFLOG --nflog-group 30
# dumpcap -i nflog:30 -w uid-1000.pcap
Тогда вы можете создать запуск процесса, о котором идет речь из учетной записи пользователя, которая ничего не делает - и voila, вы только что выделили и захватили трафик из одного процесса.
Просто хотел отправить сообщение на случай, если это поможет кому угодно.