【安全】使用auparse解析auditd审计日志

使用auparse解析auditd审计日志

1 审计日志特点

查看auditd.log的日志，审计日志的格式如下：

type=SYSCALL msg=audit(1703148319.954:11680975): arch=c000003e syscall=2 success=yes exit=5 a0=1102430 a1=0 a2=1b6 a3=24 items=1 ppid=7752 pid=7761 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts6 ses=7 comm="python" exe="/usr/bin/python2.7" subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
type=CWD msg=audit(1703148319.954:11680975):  cwd="/root/"
type=PATH msg=audit(1703148319.954:11680975): item=0 name="/mnt/file_747.txt" inode=101222977 dev=08:03 mode=0100644 ouid=0 ogid=0 rdev=00:00 obj=unconfined_u:object_r:mnt_t:s0 objtype=NORMAL cap_fp=0000000000000000 cap_fi=0000000000000000 cap_fe=0 cap_fver=0
type=PROCTITLE msg=audit(1703148319.954:11680975): proctitle=707974686F6E0066696C655F726561642E7079

从外层看审计日志有两个字段：type和msg，type表示类型，意思是当前行的日志的含义，msg就是审计日志的信息。在msg里面又包含很多字段，在这些字段的开始部分的括号中有两个字段，分别表示日志时间戳和序列号：audit(timestamp:serial)，时间戳是毫秒级别，而序列号是一个自增的整数，同一个事件的多行日志的时间戳和序列号是一样的。在序列号后面就是若干字段。

以上面的例子来讲解下日志的内容：

• 第一条日志的类型是SYSCALL，表示这个是系统调用，系统调用号是2(ausyscall 2)，表示open系统调用，success=yes表示调用成功，exit=5表示调用的返回值是5，也就是文件描述符的值，后面的a0~a3表示系统调用的参数，然后就是进程的一些信息，如pid、ppid、uid、comm、exe等
• 第二条日志的类型是CWD，表示这个是当前工作路径，日志的内容就只有输出当前工作路径
• 第三条日志的类型是PATH，表示系统调用过程中访问的路径，这里就是打开的文件的信息，例如，文件名为/mnt/file_747.txt，文件的inode号、mode等
• 最后一条日志的类型是PROCTITLE，表示进程标题，也就是cmd，但是这个是需要解析的，无法直接看出cmd

对于这个事件的日志来说，还有一条日志没有打印出来：type=EOE msg=audit(1703151485.085:11729997):，这条日志的类型是EOE(End OF Event)，表示事件的结束，由于这条日志没有内容，因此，auditd在输出到日志文件时过滤了这条日志。

虽然上面将这个事件的几条日志放在一起，但是当时间量比较大时，auditd.log中的日志是不保证顺序的，也就是说，多个事件的日志之间会串。

2 使用auparse直接audispd转发的日志

当使用audispd的af_unix插件转发审计日志时，可以直接通过connect和read读取审计日志，会发现一次可以读取到多条日志，就有可能出现日志被截断以及乱序的问题，此时，可以通过auparse进行解析。

auparse是libaudit中的解析审计日志的模块，可以很方便的提取出审计日志中的字段：

#include 
#include 
#include 
#include 
#include 
#include 
#include 
#include 

void handle_event(auparse_state_t *au, auparse_cb_event_t cb_event_type,
                  void *user_data) {
    int type = 0;
    auparse_first_record(au);
    do {
        type = auparse_get_type(au);
        printf("type=%d\n", type);

        const char *val = auparse_get_record_text(au);
        printf("msg=%s\n", val);

        auparse_first_field(au);

        do {
            printf("%s=%s (%s)\n", auparse_get_field_name(au), auparse_get_field_str(au), auparse_interpret_field(au));
        } while(auparse_next_field(au) > 0);
    } while(auparse_next_record(au) > 0);
    printf("\n");
}

int main(int argc, char *argv[]) {
    int sockfd;
    struct sockaddr_un serv_addr;
    ssize_t len;
    char buffer[1024];

    if (argc != 2) {
        printf("Usage: %s \n", argv[0]);
        exit(1);
    }

    sockfd = socket(AF_UNIX, SOCK_STREAM, 0);
    if (sockfd < 0) {
        perror("socket");
        exit(1);
    }

    serv_addr.sun_family = AF_UNIX;
    strcpy(serv_addr.sun_path, argv[1]);

    if (connect(sockfd, (struct sockaddr *)&serv_addr, sizeof(serv_addr)) < 0) {
        perror("connect");
        exit(1);
    }

    printf("Connected to the Unix Socket: %s\n", argv[1]);
    auparse_state_t *au = auparse_init(AUSOURCE_FEED, 0);
    if(au == NULL) {
        printf("auparse_init failed");
        exit(1);
    }
    auparse_add_callback(au, handle_event, NULL, NULL);

    while ((len = read(sockfd, buffer, sizeof(buffer) - 1)) > 0) {
        buffer[len] = '\0';
        auparse_feed(au, buffer, len);
    }

    if (len < 0) {
        perror("read");
    }

    close(sockfd);
    return 0;
}

在创建socket，然后connect连接到unix socket后，就调用auparse_add_callback注册事件处理的回调函数handle_event，当通过read读取到数据后，就调用auparse_feed将审计日志给到解析器，在回调函数中就可以调用auparse_类函数把数据当做链表进行处理：

• auparse_first_record + auparse_next_record：遍历多条审计日志
• auparse_first_field + auparse_next_field：遍历一条审计日志的多个字段
• auparse_get_type：获取审计日志的类型
• auparse_get_record_text：获取审计日志的完整内容

通过auparse就可以快速方便的实现字段的解析和提取，但是需要注意的是，一旦调用auparse_feed将数据给到auparse，auparse会先放到队列，然后进行解析，因此，如果审计日志量级比较大，有可能放到队列的操作会失败，也就是调用auparse_feed失败，如果想增大日志处理的吞吐量，可以创建一个比较大缓存队列，收到日志后，先放到队列，然后再从队列中取出后调用auparse_feed。