Это грязный хак, но я бы предложил либо переадресацию, либо лог-цель с iptables для данного UID. например:
iptables -t nat -A OUTPUT -p tcp -m owner --uid-owner $USER -m tcp -j LOG
iptables -t nat -A OUTPUT -p udp -m owner --uid-owner $USER -m udp -j LOG
Также может быть полезно посмотреть что-то вроде «-log-tcp-sequence», «-log-tcp-options», «-log-ip-options», «-log-uid» для что лог-цель. Хотя я подозреваю, что это только поможет вам опубликовать процесс pcap, который включает в себя массу других данных.
Цель NFLOG может быть полезна, если вы хотите пометить пакеты, а затем некоторые помеченные пакеты будут отправлены через сокет netlink в выбранный вами процесс. Интересно, будет ли это полезно для взлома чего-то с помощью wirehark и вашего конкретного приложения, работающего как конкретный пользователь?