使用auditctl命令可以对内核中的审计系统进行控制,可以用来获取audit状态和添加/删除audit规则。 语法格式:auditctl [参数] 常用参数: -s 报告内核的审计子系统状态 -l 列出所有的规则 参考实例 查看audit运行状态: [root@linuxcool ~]# auditctl -s 查看现有的audit规则: [root@linuxcool ~]# auditctl -l ...
使用auditctl命令可以对内核中的审计系统进行控制,可以用来获取audit状态和添加/删除audit规则。 语法格式auditctl [参数] 常用参数: -s 报告内核的审计子系统状态 -l 列出所有的规则 参考实例 查看audit运行状态: [root@linux265 ~]# auditctl -s 查看现有的audit规则: [root@linux265 ~]# auditctl -l 与...
[root@rhel ~]# auditctl -sAUDIT_STATUS:enabled=1flag=0pid=2695rate_limit=0backlog_limit=320lost=0backlog=0//auditd进程的运行状态是正常的 1. 2. 3. 查看现有的audit规则 [root@rhel ~]# auditctl -lNo rules 1. 2. 添加一条audit规则,记录用户zhangsan(UID为500)的所有open系统调用 [root@...
–-l:列出当前的规则 –-D:清除所有规则 例如,要添加一个监控对/etc/passwd文件的访问的规则,可以使用以下命令: “` sudo auditctl -a always,exit -F path=/etc/passwd -F perm=read -S open “` 这个命令将在每次对/etc/passwd文件进行读取操作时记录审计日志。 5. 保存和加载审计规则 使用以下命令可...
-s 或--syscall:生成系统调用报告。例如,要生成事件报告,你可以使用: bash aureport -e 要生成特定时间段内的事件报告,你可以结合使用-te(结束时间)和-ts(开始时间)选项(注意:这些选项可能需要指定为-t后跟时间范围,具体取决于aureport的版本和用法): ...
[root@linuxcool ~]# auditctl -l No rules 添加一条审计规则,用于记录指定用户(UID:1000)的所有打开系统调用的行为: [root@linuxcool ~]# auditctl -a entry, always -S open -F uid=1000 Warning - entry rules deprecated, changing to exit rule] WARNING -32/64 bit syscall mismatch, you should...
[root@rhel ~]# auditctl -l No rules 添加一条audit规则,记录用户zhangsan(UID为500)的所有open系统调用 [root@rhel ~]# auditctl -a entry, always -S open -F uid=500 Warning - entry rules deprecated, changing to exit rule] WARNING -32/64 bit syscall mismatch, you should specify an arch...
使用auditctl命令可以对内核中的审计系统进行控制,可以用来获取audit状态和添加/删除audit规则。 语法格式:auditctl [参数] 常用参数: 参考实例 查看audit运行状态: [root@linuxcool ~]# auditctl -s AI代码助手复制代码 查看现有的audit规则: [root@linuxcool ~]# auditctl -l ...
[root@linuxcool ~]#auditctl -lNo rules 添加一条审计规则,用于记录指定用户(UID:1000)的所有打开系统调用的行为: [root@linuxcool ~]#auditctl -a entry, always -S open -F uid=1000Warning - entry rules deprecated, changing to exit rule] ...
auditctl -s 2)查看现有的audit规则 auditctl -l 3)查看特定程序的所有系统调用 auditctl -a entry,always -S all -F pid=1008 4)查看指定用户打开的文件 auditctl -a exit,always -S open -F auid=510 5)查看未成功的open调用 auditctl -a exit,always -S open -F success=0 6)监测文件的...