信息

2024-5-31 • tag-icon

在 Centos 7 上运行 auditd 版本 2.6.5。

我的规则文件包含：

-a exit,always -F arch=b64 -F auid=0 -S execve -k root_action
-a exit,always -F arch=b32 -F auid=0 -S execve -k root_action

当我跑步的时候which echo，我得到/usr/bin/echo。

问题

当我运行时echo "asd"，没有任何内容被记录下来/var/log/audit/audit.log。但是，当我运行时，/usr/bin/echo "asd"我看到一个事件被记录下来。为什么不使用绝对路径就不起作用？

echo 是 shell 的内置命令。/bin/echo 是二进制文件。

输入type echo并which echo查看差异。

当您给它完整路径时，您是在告诉它使用二进制文件而不是 shell 内置文件。