Linux-安全审计-auditd.log解读

succeed=yes/no，说明此次syscall成功或失败
exit=-13说明syscall的返回值是-13
a0，a1，a2，a3指明了前4个参数，也是编码成16进制，通过ausearch命令可以解码查看
items指出event中的path记录的数量
ppid指明Parent Process ID，即父进程ID
pid指明了进程ID
auid指出audit user ID，即当时的登陆uid
uid指出了对应进程的所有者ID
gid对应进程的group ID
euid对应进程的effective user ID
suid对应set user ID
fsuid对应file system user ID
egid对应effective group ID
sgid对应set group ID
fsgid对应file system group ID
tty指出对应进程是在哪个终端启动的
ses指出了对应进程的session ID
comm对应了进程执行的命令
exe指出了进程的执行文件的路径
subj指出进程执行时selinux上下文
key是管理员定义的标明是哪条rule输出了这条audit日志
第二条日志中CWD指出了进程的执行目录（current working directory），cwd字段指出了第一条日志中syscall的执行路径
第三条日中用来记录所有传递给syscall作为参数的路径，在这个audit事件中，仅有/etc/ssh/sshd_config作为参数进行传递，通过name字段指明
inode指出了与文件或目录相对应的inode number，可以通过下面的命令查看inode对应的文件或目录：
find/ -inum -print
time :审计时间
name :审计对象
cwd :当前路径
syscall :相关的系统调用
auid :审计用户ID
uid和 gid :访问文件的用户ID和用户组ID
comm :用户访问文件的命令
exe :上面命令的可执行文件路径。