title: auditd审计syscall操作
1.linux内核需要打开CONFIG_AUDIT和CONFIG_AUDITSYSCALL选项,系统启动时会运行内核任务kauditd
2.用户态通过安装auditd安装包,启动auditd服务来接收内核模块的审计日志信息,记录到/var/log/audit/audit.log文件中
audit可以配置规则,这个规则是给内核模块下发的,内核kauditd模块会按照这个规则获取审计信息,发送给auditd来记录日志
规则类型可以分为:
a、控制规则:控制audit系统的规则;
b、文件系统规则:也可以认为是文件监控,可以监控一个特性文件或者路径
c、系统调用规则:可以记录特性程序的系统调用,系统调用可以在uapi/asm/unistd.h文件中查找内核支持的syscall
audit规则可以通过命令auditctl即时添加规则生效,这些规则是临时的重启后就不存在了,也可以通过配置文件/etc/audit/rules.d/audit.rules添加规则,每次auditd服务启动时从这个配置文件加载规则生效。
增加一个事件修改的审计规则:
auditctl -a always,exit -S settimeofday -S clock_settime -S timerfd_settime -S clock_adjtime -k change_date
也可以修改配置文件,设置重启时加载规则生效
auditd安装包中默认提供了audit.rules规则文件,在/etc/audit/rules.d/audit.rules中新增稽核规则
-a always,exit -S settimeofday -S clock_sett