Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

7.5.2. 実行可能ファイルルールの定義

実行可能ファイルルールを定義するには、以下の構文を使用します。
auditctl  -a action,filter [ -F arch=cpu -S system_call] -F exe=path_to_executable_file -k key_name
詳細は以下のようになります。
  • action および filter は、特定のイベントがログに記録されるタイミングを指定します。アクションは 、always または never のいずれかになります。filter は、イベントに適用されるカーネルルール一致フィルターを指定します。ルール照合のフィルターは、task、exit、user、および exclude のいずれかになります。これらのフィルターの詳細は、「監査システムアーキテクチャー」 の最初を参照してください。
  • system_call は、その名前でシステムコールを指定します。すべてのシステムコールの一覧は、/usr/include/asm/unistd_64.h ファイルにあります。複数のシステムコールを 1 つのルールにグループ化できます。それぞれは、独自の -S オプションの後に指定できます。
  • path_to_executable_file は、監査される実行ファイルへの絶対パスです。
  • key_name は、どのルールまたは特定のログエントリーを生成したルールのセットを特定するのに役立つオプションの文字列です。

例7.3 実行可能ファイルのルール

/bin/id プログラムのすべての実行をログに記録するルールを定義するには、次のコマンドを実行します。
~]# auditctl -a always,exit -F exe=/bin/id -F arch=b64 -S execve -k execution_bin_id

このページには機械翻訳が使用されている場合があります (詳細はこちら)。