有一段时间,我对监控 TCP/UDP 连接很感兴趣,希望能够获得有关启动连接的进程的详细信息,我发现了一篇很有帮助的文章 -查找短暂的 TCP 连接所有者进程 所以我已经执行了:
auditctl -a 退出,始终 -F arch=b64 -S 连接 -k MYCONNECT
并开始监控连接,但过了一段时间后我注意到 audit.log 中任何带有“SYSCALL=connect”的条目都只与 IPv4 协议有关,它们都有如下视图:
type=SYSCALL msg=audit(1626330176.452:56662005): arch=c000003e syscall=42 success=no exit=-115 a0=1b a1=7ffea6f24b00 a2=10 a3=2 items=0 ppid=1 pid=809 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=4294967295 comm="NetworkManager" exe="/usr/sbin/NetworkManager" subj=unconfined key="MYCONNECT"ARCH=x86_64 SYSCALL=connect AUID="unset" UID="root" GID="root" EUID="root" SUID="root" FSUID="root" EGID="root" SGID="root" FSGID="root"
type=SOCKADDR msg=audit(1626330176.452:56662005): saddr=0200005023E0AA540000000000000000SADDR={ fam=inet laddr=35.224.170.84 lport=80 }
type=PROCTITLE msg=audit(1626330176.452:56662005): proctitle="(kManager)"
其中 fam=inet laddr=35.224.170.84 lport=80 - 连接目标我已启用 IPv6 协议,这可以通过
ip a
我有 inet6 和 IPv6 地址来查看,通过 ip6tables 我已经看到 IPv6 正在运行并且有连接,但我在 audit.log 中看不到它们 - 正如我上面提到的,只有 IPv6 连接
是否也可以通过 auditd 监控 IPv6?