shell type=SYSCALL msg=audit(1545212248.965:20000): arch=c000003e syscall=59 success=yes exit=0 a0=1c2d780 a1=1bf2450 a2=1bf1670 a3=7fff0a65d200 items=2 ppid=15571 pid=24347 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts2 ses=127 comm="who" exe...
Warning - entry rules deprecated, changing to exit rule] WARNING -32/64 bit syscall mismatch, you should specify an arch [root@rhel ~]# auditctl -l LIST_RULES: exit, always uid=500 (0x1f4) syscall=open 删除audit规则 [root@rhel ~]# auditctl -d entry, always -S open -F uid=500...
[root@linuxcool ~]# auditctl -a entry, always -S open -F uid=1000 Warning - entry rules deprecated, changing to exit rule] WARNING -32/64 bit syscall mismatch, you should specify an arch 删除一条指定的审计规则: [root@linuxcool ~]# auditctl -d entry, always -S open -F uid=1000...
-S [Syscall name or number|all] 可以使用任何系统调用名或号码。 'all'这个词也可以用。 如果这个系统调用是由程序执行的, 那么就启动一个审计记录。 如果给出了字段规则, 但没有指定系统调用, 则默认为所有系统调用。 还可以在同一规则中使用多个-S选项来指定多个系统调用。 这样做可以提高性能,因为需要评估...
[Syscall name or number|all] 可以使用系统调用名称或数字.也可以使用all.也可以在一条规则中指定多个系统调用,以提升效率. -F [n=v | n!=v | n<v | n>v | n<=v | n>=v] 建立规则字段: 名称,操作,参数.一个命令行可以有64个字段,每个字段必须以-F开头.每个字段将会 触发一个audit记录.有=,...
auditctl [选项] filter,action -S syscall -F condition -k label 主要参数说明见表 1 表1. auditctl 命令选项 -S 表示系统调用号或名字 -F 表示规则域。 -k 表示设置审计规则上的过滤关键 了解audit 审计规则 audit 审计规则分成三个部分: 控制规则:这些规则用于更改审计系统本身的配置和设置。
[root@rhel ~]# auditctl -a entry, always -S open -F uid=500Warning - entry rules deprecated, changing toexitrule]WARNING -32/64 bit syscall mismatch, you should specify an arch[root@rhel ~]# auditctl -lLIST_RULES: exit, alwaysuid=500(0x1f4)syscall=open ...
auditctl -a <action>,<filter> -S <syscall> -F <field>=<value> -k <key> •<action>:指定要执行的动作,包括always(始终记录)、never(永不记录)和exit(只记录退出事件)。 •<filter>:指定过滤器,用于限制规则适用的范围,包括task(进程级别)、exit(退出事件)和user(用户级别)。 •<syscall>:指定...
WARNING -32/64 bit syscall mismatch, you should specify an arch 删除一条指定的审计规则: [root@linuxcool ~]#auditctl -d entry, always -S open -F uid=1000Warning - entry rules deprecated, changing to exit rule 清空当前系统中已有的全部审计规则: ...
type=SYSCALL msg=audit(1434353309.125:498614): arch=c000003e syscall=2 success=yes exit=4 a0=ef1560 a1=c2 a2=180 a3=1 items=2 ppid=27225 pid=27305auid=608uid=55000866 gid=506 euid=55000866 suid=55000866 fsuid=55000866 egid=506 sgid=506 fsgid=506 tty=pts3 ses=20857comm="vim" exe="...