auditd 错过了某些命令的执行

auditd 错过了某些命令的执行

我在命令上放置了一条auditd规则,jcmd如下所示:

auditctl -w /usr/bin/jcmd -p x -k jvm_debug

但是,当我执行它时,它不会写入任何日志。

查看有关此主题的指南和之前的问题,它们使用相同的格式,但以命令who为例。

所以我也尝试了一下:

auditctl -w /usr/bin/who -p x -k who

对于该who命令,auditd 在执行时会写入日志。

为了进一步调试,我使用 运行这些命令strace,告诉它遵循openexecve系统调用。通过打开,我主要看到对库的调用,但看不到可执行文件。但是,这两个命令 strace 输出都以execve对我运行的文件的系统调用开始。

为什么auditd“错过”了execve该命令的系统调用jcmd,而不是该who命令的系统调用?

相关内容