audit字段解释

一次审计事件会有多条记录:

第一条记录解释:

1.type是记录的类型,具体类型很多,查看AuditType
Type

2.msg是记录的时间戳和唯一ID
可以多条记录分享一个相同的时间戳和ID

3.arch表示cpu的信息,c0000003e是16进制的x86_64

4.syscall是system call的类型,可以通过ausyscall --dump查看
例如2表示open

5.success表示syscall成功还是失败了。

6.exit表示退出码,可以通过ausearch --interpret --exit -13 查询含义
例如-13(Permission denied),exit=-1(Operation not permitted),exit=-2(No such file or directory)

  1. a0,a1,a2,a3是syscall的前四个参数(十六进制符号),能被ausearch读取

  2. items表示事件中路径记录的数量

  3. ppid是parent process id

10.pid是process id

  1. auid记录被审计的用户id,取决于登陆状态

  2. uid记录启动分析进程的用户id

13.gid记录启动分析进程的组id

  1. euid记录有效的启动分析进程的用户id

  2. suid记录启动分析进程的用户id set集合

  3. fsuid记录启动分析进程的系统用户id

  4. egid记录有效的启动分析进程的组id

  5. sgid 记录启动分析进程的组id set集合

  6. fsgid记录启动分析进程的系统用户组id

  7. tty记录分析进程被调用的终端编号

  8. ses记录分析进程被调用的session id

  9. comm调用的命令名称
    例如:cat、ls、rm等

  10. exec调用的命令全路径

  11. subj表示执行时间,分析进程被SELinu打的标签,可能无

  12. key表示管理员定义的rule分析audit,标注log事件,无则(null)

第二条记录解释:

  1. type=CWD表示记录当前工作路径
  2. msg记录时间戳和唯一ID
  3. cwd=,命令调用时的路径

第三条记录解释:

  1. type=PATH表示记录被执行的路径信息
  2. msg记录时间戳和唯一ID
  3. item表示第几个项目,从0开始计数
  4. name具体被执行的路径或文件信息
  5. inode表示被执行的路径或文件关联的inode编号,可以 find / -inum 409248 -print查询
  6. dev指定包含被执行路径或文件关联的device的minor id和major id
  7. mode记录被执行路径或文件的权限,如0100644,看644知道是rw r r
  8. ouid记录owner id
  9. ogid记录owner gid
  10. rdev针对特殊文件所记录的device identifier,这里00:00便是常规文件无。
  11. object type记录SELinux对路径或文件的标签,这里是normal

参考

RedHat Document

测试

[root@A06-R12-302F0413-I37-42 audit]# auditctl -w /etc/passwd -p wa

[root@A06-R12-302F0413-I37-42 audit]# auditctl -l

-w /etc/passwd -p wa

chmod 644 /etc/passwd

type=SYSCALL msg=audit(1479117944.606:586790): arch=c000003e syscall=268 success=yes exit=0 a0=ffffffffffffff9c a1=1e6a0f0 a2=1a4 a3=7fff428f7db0 items=1 ppid=89132 pid=89680 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts1 ses=39321 comm="chmod" exe="/usr/bin/chmod" key=(null)
type=CWD msg=audit(1479117944.606:586790):  cwd="/root"
type=PATH msg=audit(1479117944.606:586790): item=0 name="/etc/passwd" inode=68440566 dev=08:03 mode=0100666 ouid=0 ogid=0 rdev=00:00 objtype=NORMAL

用户id=0,成功使用chmod修改/etc/passwd,参数:a0=ffffffffffffff9c a1=1e6a0f0 a2=1a4 (110100100相当于644)a3=7fff428f7db0

你可能感兴趣的:(audit字段解释)