我正在 /etc/audit/audit.rules 中设置审计规则。
根据要求:应配置审计系统来审计所有管理、特权和安全操作。
因此我在 /etc/audit/auditd.rules 中添加一行:
-a exit,always -S stime -S acct -S reboot -S swapon
但是,我通过 service auditd restart 重新启动 audit.d 后:
There is error comeout:
Stopping auditd: [ OK ]
Starting auditd: [ OK ]
Syscall name unknown: stime
There was an error in line 14 of /etc/audit/audit.rules
似乎无法识别 stime。有人能帮我找出我添加的规则出了什么问题吗?非常感谢!
答案1
您运行的是 64 位系统吗?您可能需要确认架构。
因此 -a exit,always -F arch=b32 -S stime
让我知道。
答案2
您不应该添加这个/etc/audit/audit.rules
吗?
答案3
在 Alpine (64 位) 上遇到同样的问题,必须执行以下操作:
-a exit,always -F arch=b64 -S stime