我试图用C / C ++编写一个过程来实时分析审计事件。
目前,我使用af_unix插件从Unix套接字读取审核事件(默认情况下为/var/run/audisp_events)。
我尝试使用select(),recv()来使用套接字中的事件,如下所示:
select(FD_SETSIZE, &set, NULL, NULL, NULL);
recv(sockfd, message, size, MSG_DONTWAIT);
然后发送到auparse回调以将缓冲区similer解析为此example:
auparse_feed(au, buf, (size_t)len);
auparse_flush_feed(au);
这里的问题是auditd事件可以是多记录事件(比如SYSCALL),并且使用recv()只消耗一些记录而不是所有记录,所以在解析回调中,我不会&#39 ; t拥有所有信息。
然后我尝试使用getline()一次使用一条记录,但我仍然无法判断记录是一个记录事件还是记录事件。
阅读审核文档here后,我发现了这个:
EOE Triggered to record the end of a multi-record event.
我可以使用它来知道何时停止使用(因为getline()是阻塞操作),但EOE事件仅存在于多记录事件中。
我的问题是:
af_unix插件是实时使用审计事件的最佳方式吗?答案 0 :(得分:0)
您应该为此使用Audit Dispatcher(audisp)插件。
以下是一些资源:
handle_event函数有关事件中的记录数,请致电auparse_get_num_records。