我想使用 .NET 来监视在我的 FreeBSD 上调用的每个系统调用auditd
。我知道这在 Linux 上是可能的,但我找不到任何关于如何配置 FreeBSD 的信息。
是否有可能监控 FreeBSD 中的每个系统调用?
详情
我/etc/security/audit_control
现在的样子是这样的:
#
# $FreeBSD: releng/10.3/contrib/openbsm/etc/audit_control 293161 2016-01-04 16:32:21Z brueffer $
#
dir:/var/audit
dist:off
flags:lo,aa
minfree:5
naflags:lo,aa
policy:cnt,argv
filesz:2M
expire-after:10M
标志设置为审计所有内容,策略设置为记录命令行execve(2)
(请参阅 参考资料audit_control(5)
)。
答案1
我的似乎有一个错字/etc/security/audit_control
:
#
# $FreeBSD: releng/10.3/contrib/openbsm/etc/audit_control 293161 2016-01-04 16:32:21Z brueffer $
#
dir:/var/audit
dist:off
flags:all
minfree:5
naflags:all
policy:cnt,argv,arge,seq,
filesz:2M
expire-after:10M
这种配置会产生大量的审计跟踪。
在 Linux Audit 中,它们明确存在于a0
、a1
和字段中,而在 OpenBSM 格式中a2
,a3
它们存储在参数标记中(请参阅audit.log(5)
)。
例如:
header,108,11,close(2),0,Mon Aug 15 01:47:53 2016, + 865 msec argument,1,0x6,fd attribute,644,root,wheel,88,3148396,6394391 subject,-1,root,wheel,root,wheel,1721,0,0,0.0.0.0 return,success,0 trailer,108