我在命令上放置了一条auditd规则,jcmd
如下所示:
auditctl -w /usr/bin/jcmd -p x -k jvm_debug
但是,当我执行它时,它不会写入任何日志。
查看有关此主题的指南和之前的问题,它们使用相同的格式,但以命令who
为例。
所以我也尝试了一下:
auditctl -w /usr/bin/who -p x -k who
对于该who
命令,auditd 在执行时会写入日志。
为了进一步调试,我使用 运行这些命令strace
,告诉它遵循open
和execve
系统调用。通过打开,我主要看到对库的调用,但看不到可执行文件。但是,这两个命令 strace 输出都以execve
对我运行的文件的系统调用开始。
为什么auditd“错过”了execve
该命令的系统调用jcmd
,而不是该who
命令的系统调用?