如何使用审计来监控 FreeBSD 上用户调用的系统调用？

Question

我的似乎有一个错字/etc/security/audit_control：

#
# $FreeBSD: releng/10.3/contrib/openbsm/etc/audit_control 293161 2016-01-04 16:32:21Z brueffer $
#
dir:/var/audit
dist:off
flags:all
minfree:5
naflags:all
policy:cnt,argv,arge,seq,
filesz:2M
expire-after:10M

这种配置会产生大量的审计跟踪。

在 Linux Audit 中，它们明确存在于a0、a1和字段中，而在 OpenBSM 格式中a2，a3它们存储在参数标记中（请参阅audit.log(5)）。

例如：

header,108,11,close(2),0,Mon Aug 15 01:47:53 2016, + 865 msec
argument,1,0x6,fd
attribute,644,root,wheel,88,3148396,6394391
subject,-1,root,wheel,root,wheel,1721,0,0,0.0.0.0
return,success,0
trailer,108

Answer 1

我的似乎有一个错字/etc/security/audit_control：

#
# $FreeBSD: releng/10.3/contrib/openbsm/etc/audit_control 293161 2016-01-04 16:32:21Z brueffer $
#
dir:/var/audit
dist:off
flags:all
minfree:5
naflags:all
policy:cnt,argv,arge,seq,
filesz:2M
expire-after:10M

这种配置会产生大量的审计跟踪。

在 Linux Audit 中，它们明确存在于a0、a1和字段中，而在 OpenBSM 格式中a2，a3它们存储在参数标记中（请参阅audit.log(5)）。

例如：

header,108,11,close(2),0,Mon Aug 15 01:47:53 2016, + 865 msec
argument,1,0x6,fd
attribute,644,root,wheel,88,3148396,6394391
subject,-1,root,wheel,root,wheel,1721,0,0,0.0.0.0
return,success,0
trailer,108

如何使用审计来监控 FreeBSD 上用户调用的系统调用？

详情

答案1

相关内容