Outils pour utilisateurs

Outils du site


systeme:auditd

Ceci est une ancienne révision du document !


Auditd

Description

Commandes

ausyscall

Map un syscall en id ou un id en numéro de syscall :

$ ausyscall --exact x86_64 open
2

$ ausyscall i386 2
fork

$ ausyscall x86_64 2
open

auditctl

  • Lister les règles chargées :

$ auditctl -l

  • Recharger les régles à partir d'un fichier :

$ auditctl -R /etc/audit/audit.rules

  • Supprimer l'ensemble des régles :

$ auditctl -D

  • Ajouter des régles :
    • Log les syscall open pour l'utilisateur qui a l'id 80 (on précise qu'on est sur du 64 bits car les sycall peuvent être différents) :

$ auditctl -a exit,always -F arch=x86_64 -S open -F auid=80

  • Log les écritures (w = write / a = append / x = execution / r = read) pour le fichier /etc/passwd :

$ auditctl -a exit,always -F path=/etc/passwd -F perm=wa

autrace

Une sorte d'équivalent à strace :

$ autrace /bin/ls /tmp

systeme/auditd.1439891238.txt.gz · Dernière modification : 2015/08/18 09:47 de root