О журнале аудита Linux

morningphase

02.07.2023, 12:21

В Audit.log я вижу:

type=SYSCALL msg=audit(1646113477.615:531): arch=c000003e syscall=3 успех=да выход=0 a0=3 a1=7ffcadf66ae0 a2=7ffcadf66b60 a3=8 элементов=0 ppid=1431 pid=1451 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 ses=19 comm="bash" exe="/bin/bash" key=(null)

type=PROCTITLE msg=audit(1646113477.615:531): proctitle="-bash"

Вопрос: как я могу получить закрытое имя файла?

0 + 0

линукс

Рейтинг:0

Server

shearn89

02.07.2023, 13:44

Ты можешь использовать ausearch. Увидеть больше информации на страницах RedHat, но резюмирую:

Поля от a0 до a3 записывают первые четыре аргумента системного вызова в этом событии, закодированные в шестнадцатеричной системе счисления. Эти аргументы зависят от используемого системного вызова; они могут быть интерпретированы утилитой ausearch.

0 + 0

Admin

Этот вопрос на других языках:

EN: About Linux Auditd log

TH: เกี่ยวกับบันทึก Linux Auditd

RO: Despre jurnalul Linux Auditd

RU: О журнале аудита Linux

VI: About Linux Auditd log

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.