我们现有审计规则,记录除UID 501之外的所有命令,并且运行良好:
% cat /etc/audit/audit.rules
-D
-b 320
-a exit,always -F arch=b64 -S execve -F uid!=501
-a exit,always -F arch=b32 -S execve -F uid!=501
他们会产生如下数据:
type=SYSCALL msg=audit(1493677870.320:573818): arch=c000003e syscall=59
success=yes exit=0 a0=18e0d80 a1=18e9ac0 a2=18df340 a3=20 items=2
ppid=29928 pid=29943 auid=4294967295 uid=501 gid=103 euid=501 suid=501
fsuid=501 egid=103 sgid=103 fsgid=103 tty=(none) ses=4294967295
comm="bb" exe="xxxx" key=(null)
我们想要省略记录的没有上述TTY的命令:“ tty =(none)”选择仅记录SYSCALL的有效TTY例如: “的 TTY = PTS1 ”
通过审核文档阅读了几个小时后,我已经用尽了所有方法来完成这项工作。虽然有uid,euid等的钩子,但似乎没有一个用于tty,如果是这样,当“(none)”只是日志代码中NULL的文本表示时,如何表示null tty。
提前致谢! :)