在 audit.log 中,我可以看到:
类型 = SYSCALL msg = 审核(1646113477.615:531):arch = c000003e syscall = 3 成功 = 是退出 = 0 a0 = 3 a1 = 7ffcadf66ae0 a2 = 7ffcadf66b60 a3 = 8 项目 = 0 ppid = 1431 pid = 1451 auid = 0 uid = 0 gid = 0 euid = 0 suid = 0 fsuid = 0 egid = 0 sgid = 0 fsgid = 0 tty = pts0 ses = 19 comm =“bash”exe =“/ bin / bash”key =(null)
类型=PROCTITLE msg=audit(1646113477.615:531): proctitle="-bash"
问题是:如何获取关闭的文件名?
答案1
您可以使用ausearch
。查看更多信息在 RedHat 页面上,总结一下:
a0 到 a3 字段记录了此事件中系统调用的前四个参数(以十六进制表示法编码)。这些参数取决于所使用的系统调用;它们可以由 ausearch 实用程序解释。