%E7%94%A8%E6%88%B7%E7%9A%84%E7%BB%93%E6%9E%9C%EF%BC%9F.png)
有什么办法可以排除具有 tty=(none) 的事件记录
我尝试了很多添加规则的方法,但没有成功。这是我当前的日志文件:
> > type=SYSCALL msg=audit(1554390377.124:5): arch=40000003 syscall=11
> > success=yes exit=0 a0=810cf88 a1=810bd88 a2=80f5008 a3=810bd88 items=2
> > ppid=9991 pid=10497 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0
> > egid=0 sgid=0 fsgid=0 ses=4294967295 tty=(none) comm="date"
> > exe="/bin/busybox.nosuid" key=(null)
>
> > type=EXECVE msg=audit(1554390377.124:5): argc=2 a0="date" a1="+%m%d%y-%H:%M:%S:%N"
>
> > type=CWD msg=audit(1554390377.124:5): cwd="/" type=PATH
> > msg=audit(1554390377.124:5): item=0 name="/bin/date" inode=1538
> > dev=b3:03 mode=0100755 ouid=0 ogid=0 rdev=00:00 nametype=NORMAL
> >
> > type=PATH msg=audit(1554390377.124:5): item=1 name=(null) inode=969
> > dev=b3:03 mode=0100755 ouid=0 ogid=0 rdev=00:00 nametype=NORMAL
>
> > type=SYSCALL msg=audit(1554390389.524:36): arch=40000003 syscall=11
> > success=yes exit=0 a0=80f68a8 a1=80f6ae8 a2=80f3008 a3=80f6ae8 items=2
> > ppid=9906 pid=10592 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0
> > egid=0 sgid=0 fsgid=0 ses=4294967295 tty=pts0 comm="cat"
> > exe="/bin/busybox.nosuid" key=(null)
> > type=EXECVE
> > msg=audit(1554390389.524:36): argc=2 a0="cat" a1="/tmp/cpuinfo"
> > type=CWD msg=audit(1554390389.524:36): cwd="/"
我只需要日志文件中的以下几行,其中 tty=pts0/pts[任意数字]:
> type=SYSCALL msg=audit(1554390389.524:36): arch=40000003 syscall=11
> success=yes exit=0 a0=80f68a8 a1=80f6ae8 a2=80f3008 a3=80f6ae8 items=2
> ppid=9906 pid=10592 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0
> egid=0 sgid=0 fsgid=0 ses=4294967295 tty=pts0 comm="cat"
> exe="/bin/busybox.nosuid" key=(null)
> type=EXECVE
> msg=audit(1554390389.524:36): argc=2 a0="cat" a1="/tmp/cpuinfo"
> type=CWD msg=audit(1554390389.524:36): cwd="/"
> type=PATH
> msg=audit(1554390389.524:36): item=0 name="/bin/cat" inode=1538
> dev=b3:03 mode=0100755 ouid=0 ogid=0 rdev=00:00 nametype=NORMAL
> type=PATH msg=audit(1554390389.524:36): item=1 name=(null) inode=969
> dev=b3:03 mode=0100755 ouid=0 ogid=0 rdev=00:00 nametype=NORMAL
答案1
据我所理解使用auditd监视文件时如何排除特定用户或组和使用auditd审核系统调用时如何排除特定用户、组或服务_F,您可以通过使用带有 not ( )的过滤器来排除特定的服务和密钥!,即
-F subj_type!=SYSCALL
和/或
-F tty=(none)
也许您需要添加更多规格。