该aureport命令有两个选项,用于将显示的事件列表限制为成功事件和失败事件。根据手册页:
--failed
Only select failed events for processing in the reports. The default is both success and failed events.
--success
Only select successful events for processing in the reports. The default is both success and failed events.
这是什么意思?失败/成功是否与实际事件有关(例如,返回非零值的系统调用)或者失败/成功是否适用于 auditd,以及处理事件时是否存在问题?
答案1
success 记录系统调用是否成功或失败。
同一指南提供了 auditd 事件的快速演练,https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Security_Guide/sec-Understanding_Audit_Log_Files.html。
success=no success 字段记录该特定事件中记录的系统调用是成功还是失败。在本例中,调用未成功。
但是,其他事件也可以被视为失败,例如字段为的事件res(failed例如 USER_LOGIN 或 CRYPTO_KEY_USER)
res 记录触发审计事件的操作的结果。
您还可以通过运行以下命令来了解这些事件:
sudo aureport -i --failed -e
这将让您了解所涵盖的调用/事件类型,并且这些(至少在我的系统上)不仅仅是 SYSCALL,还包括其他事件(例如前面提到的 USER_LOGIN)。