一次审计事件会有多条记录:
第一条记录解释:
1.type是记录的类型,具体类型很多,查看AuditType
Type
2.msg是记录的时间戳和唯一ID
可以多条记录分享一个相同的时间戳和ID
3.arch表示cpu的信息,c0000003e是16进制的x86_64
4.syscall是system call的类型,可以通过ausyscall --dump查看
例如2表示open
5.success表示syscall成功还是失败了。
6.exit表示退出码,可以通过ausearch --interpret --exit -13 查询含义
例如-13(Permission denied),exit=-1(Operation not permitted),exit=-2(No such file or directory)
a0,a1,a2,a3是syscall的前四个参数(十六进制符号),能被ausearch读取
items表示事件中路径记录的数量
ppid是parent process id
10.pid是process id
auid记录被审计的用户id,取决于登陆状态
uid记录启动分析进程的用户id
13.gid记录启动分析进程的组id
euid记录有效的启动分析进程的用户id
suid记录启动分析进程的用户id set集合
fsuid记录启动分析进程的系统用户id
egid记录有效的启动分析进程的组id
sgid 记录启动分析进程的组id set集合
fsgid记录启动分析进程的系统用户组id
tty记录分析进程被调用的终端编号
ses记录分析进程被调用的session id
comm调用的命令名称
例如:cat、ls、rm等exec调用的命令全路径
subj表示执行时间,分析进程被SELinu打的标签,可能无
key表示管理员定义的rule分析audit,标注log事件,无则(null)
第二条记录解释:
- type=CWD表示记录当前工作路径
- msg记录时间戳和唯一ID
- cwd=,命令调用时的路径
第三条记录解释:
- type=PATH表示记录被执行的路径信息
- msg记录时间戳和唯一ID
- item表示第几个项目,从0开始计数
- name具体被执行的路径或文件信息
- inode表示被执行的路径或文件关联的inode编号,可以 find / -inum 409248 -print查询
- dev指定包含被执行路径或文件关联的device的minor id和major id
- mode记录被执行路径或文件的权限,如0100644,看644知道是rw r r
- ouid记录owner id
- ogid记录owner gid
- rdev针对特殊文件所记录的device identifier,这里00:00便是常规文件无。
- object type记录SELinux对路径或文件的标签,这里是normal
参考
测试
[root@A06-R12-302F0413-I37-42 audit]# auditctl -w /etc/passwd -p wa
[root@A06-R12-302F0413-I37-42 audit]# auditctl -l
-w /etc/passwd -p wa
chmod 644 /etc/passwd
type=SYSCALL msg=audit(1479117944.606:586790): arch=c000003e syscall=268 success=yes exit=0 a0=ffffffffffffff9c a1=1e6a0f0 a2=1a4 a3=7fff428f7db0 items=1 ppid=89132 pid=89680 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts1 ses=39321 comm="chmod" exe="/usr/bin/chmod" key=(null)
type=CWD msg=audit(1479117944.606:586790): cwd="/root"
type=PATH msg=audit(1479117944.606:586790): item=0 name="/etc/passwd" inode=68440566 dev=08:03 mode=0100666 ouid=0 ogid=0 rdev=00:00 objtype=NORMAL
用户id=0,成功使用chmod修改/etc/passwd,参数:a0=ffffffffffffff9c a1=1e6a0f0 a2=1a4 (110100100相当于644)a3=7fff428f7db0
