我想在我的gcc executions中只看到java和audit.log。
这将检查所有执行:
auditctl -a exit,always -S execve
上次我以某种方式将unconfined_java_t传递给auditctl命令。现在我检查了谷歌中的所有内容,但无法重新创建此命令。我花了很多时间。任何人都可以帮助我使用auditd过滤掉java和gcc
auditd.log行:
type=SYSCALL msg=audit(1453210939.324:308763): arch=c000003e syscall=1
success=yes exit=63 a0=2 a1=7fd2594dc2b0 a2=3f a3=0 items=0 ppid=31856
pid=18592 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0
tty=pts0 ses=501 comm="**java**" exe="/usr/lib/jvm/java-1.7.0-openjdk-1.7.0.79.x86_64/jre/bin/**java**"
subj=unconfined_u:unconfined_r:**unconfined_java_t**:s0-s0:c0.c1023 key=(null)
type=SYSCALL msg=audit(1453214532.108:1528238): arch=c000003e syscall=12 success=yes
exit=10514432 a0=0 a1=40af0c a2=0 a3=64 items=0 ppid=9575 pid=21076 auid=0
uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts1 ses=504
comm="gcc" exe="/usr/bin/**gcc**"
subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key=(null)