LOAD、UNLOAD 行在日志中的含义：/var/log/auth.log

Question

看起来您已经配置了一些配置，可以以非常基本的形式将消息从审计子系统发送到系统日志/日志。

也许您会在存储于的日志中找到更详细的消息/var/log/audit/？

无论如何，AUDIT1334建议将审计子系统消息转换为系统日志形式的任何内容可能不知道如何完全解析审计子系统消息类型#1334。

根据审计消息字典在 Linux 审计子系统的编程文档中，消息#1334 是AUDIT_BPF，表示加载或卸载伯克利数据包过滤器程序。

（Berkeley Packet Filter，简称 BPF，是一个 Linux 内核子系统，允许用户空间程序指定在内核模式下执行的事件驱动的字节码程序。程序可以使用它来告诉内核预过滤其网络流量，或者实现网络负载平衡方案，但 BPF 当前的实现不仅仅包括与网络相关的功能。您可以在这里找到 BPF 的更多技术介绍。显然BPF 也有一定的进攻潜力.)

审计AUDIT_BPF事件类型似乎已于 2019 年底添加到内核中，因此处理您的审核消息的任何内容都可能是 2019 年或更早的版本，而您的内核似乎比该版本更新。

显然，cgroup 的使用systemd可能涉及许多小型 BPF 程序。因此，如果您的系统使用systemd并且您在生成这些消息时正在重新启动或以其他方式重新启动大量 systemd 服务单元，则这些消息可能是正常的......但我仍然会考虑更新创建这些日志消息的组件（也许是 syslog 插件auditd？）以更丰富的信息形式获取这些消息。

否则，看到这么多进程（不同的prog-id值）无缘无故地快速加载和卸载 BPF 程序会让我有点怀疑。事实上，您的审核消息处理过程显然不知道审核消息类型 #1334 是什么，这对我来说表明您的系统可能不完全是最新的，因此可能容易受到已知攻击。

Answer 1