设置审计规则的问题:Syscall name unknown: stime

设置审计规则的问题:Syscall name unknown: stime

我正在 /etc/audit/audit.rules 中设置审计规则。

根据要求:应配置审计系统来审计所有管理、特权和安全操作。

因此我在 /etc/audit/auditd.rules 中添加一行:

-a exit,always -S stime -S acct -S reboot -S swapon

但是,我通过 service auditd restart 重新启动 audit.d 后:

There is error comeout:
Stopping auditd:                                           [  OK  ]
Starting auditd:                                           [  OK  ]
Syscall name unknown: stime
There was an error in line 14 of /etc/audit/audit.rules

似乎无法识别 stime。有人能帮我找出我添加的规则出了什么问题吗?非常感谢!

答案1

您运行的是 64 位系统吗?您可能需要确认架构。

因此 -a exit,always -F arch=b32 -S stime

让我知道。

答案2

您不应该添加这个/etc/audit/audit.rules吗?

答案3

在 Alpine (64 位) 上遇到同样的问题,必须执行以下操作:

-a exit,always -F arch=b64 -S stime

相关内容