使用auditctl命令可以对内核中的审计系统进行控制,可以用来获取audit状态和添加/删除audit规则。 语法格式:auditctl [参数] 常用参数: -s 报告内核的审计子系统状态 -l 列出所有的规则 参考实例 查看audit运行状态: [root@linuxcool ~]# auditctl -s 查看现有的audit规则: [root@linuxcool ~]# auditctl -l ...
使用auditctl命令可以对内核中的审计系统进行控制,可以用来获取audit状态和添加/删除audit规则。 语法格式auditctl [参数] 常用参数: -s 报告内核的审计子系统状态 -l 列出所有的规则 参考实例 查看audit运行状态: [root@linux265 ~]# auditctl -s 查看现有的audit规则: [root@linux265 ~]# auditctl -l 与...
[root@rhel ~]# auditctl -sAUDIT_STATUS:enabled=1flag=0pid=2695rate_limit=0backlog_limit=320lost=0backlog=0//auditd进程的运行状态是正常的 1. 2. 3. 查看现有的audit规则 [root@rhel ~]# auditctl -lNo rules 1. 2. 添加一条audit规则,记录用户zhangsan(UID为500)的所有open系统调用 [root@...
-s 或--syscall:生成系统调用报告。例如,要生成事件报告,你可以使用: bash aureport -e 要生成特定时间段内的事件报告,你可以结合使用-te(结束时间)和-ts(开始时间)选项(注意:这些选项可能需要指定为-t后跟时间范围,具体取决于aureport的版本和用法): ...
1. `-l`:列出当前系统上已经配置的审核规则。 示例:`auditctl -l` 2. `-D`:停止当前系统上的审核功能。 示例:`auditctl -D` 3. `-e`:启用审核功能。 示例:`auditctl -e 1` 4. `-a`:添加一个审核规则。 示例:`auditctl -a always,exit -S open -F arch=b64` ...
[root@linuxcool ~]# auditctl -l No rules 添加一条审计规则,用于记录指定用户(UID:1000)的所有打开系统调用的行为: [root@linuxcool ~]# auditctl -a entry, always -S open -F uid=1000 Warning - entry rules deprecated, changing to exit rule] WARNING -32/64 bit syscall mismatch, you should...
使用auditctl命令可以对内核中的审计系统进行控制,可以用来获取audit状态和添加/删除audit规则。 语法格式:auditctl [参数] 常用参数: 参考实例 查看audit运行状态: [root@linuxcool ~]# auditctl -s AI代码助手复制代码 查看现有的audit规则: [root@linuxcool ~]# auditctl -l ...
[root@rhel ~]# auditctl -l No rules 添加一条audit规则,记录用户zhangsan(UID为500)的所有open系统调用 [root@rhel ~]# auditctl -a entry, always -S open -F uid=500 Warning - entry rules deprecated, changing to exit rule] WARNING -32/64 bit syscall mismatch, you should specify an arch...
[root@linuxcool ~]#auditctl -lNo rules 添加一条审计规则,用于记录指定用户(UID:1000)的所有打开系统调用的行为: [root@linuxcool ~]#auditctl -a entry, always -S open -F uid=1000Warning - entry rules deprecated, changing to exit rule] ...
auditctl -s 2)查看现有的audit规则 auditctl -l 3)查看特定程序的所有系统调用 auditctl -a entry,always -S all -F pid=1008 4)查看指定用户打开的文件 auditctl -a exit,always -S open -F auid=510 5)查看未成功的open调用 auditctl -a exit,always -S open -F success=0 6)监测文件的...