systeme:auditd
Ceci est une ancienne révision du document !
Auditd
Description
Commandes
ausyscall
Map un syscall en id ou un id en numéro de syscall :
$ ausyscall --exact x86_64 open 2
$ ausyscall i386 2 fork
$ ausyscall x86_64 2 open
auditctl
- Lister les règles chargées :
$ auditctl -l
- Recharger les régles à partir d'un fichier :
$ auditctl -R /etc/audit/audit.rules
- Supprimer l'ensemble des régles :
$ auditctl -D
- Ajouter des régles :
- Log les syscall
open
pour l'utilisateur qui a l'id80
(on précise qu'on est sur du 64 bits car les sycall peuvent être différents) :
$ auditctl -a exit,always -F arch=x86_64 -S open -F auid=80
- Log les écritures (w = write / a = append / x = execution / r = read) pour le fichier
/etc/passwd
:
$ auditctl -a exit,always -F path=/etc/passwd -F perm=wa
autrace
Une sorte d'équivalent à strace :
$ autrace /bin/ls /tmp
systeme/auditd.1439891238.txt.gz · Dernière modification : 2015/08/18 09:47 de root