Menu Close

Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

7.5.2. 実行可能なファイルルールの定義

実行ファイルルールを定義するには、以下の構文を使用します。
auditctl  -a action,filter [ -F arch=cpu -S system_call] -F exe=path_to_executable_file -k key_name
ここで、
  • actionfilter は、特定のイベントがログに記録されるタイミングを指定します。アクション は、always または never のいずれかになります。filter は、イベントに適用されるカーネルルールマッチングフィルターを指定します。ルールマッチングフィルターは、taskexituser、および exclude のいずれかになります。これらのフィルターの詳細については、「Audit システムのアーキテクチャー」の冒頭を参照してください。
  • system_call は、名前でシステムコールを指定します。システムコールの全一覧は、/usr/include/asm/unistd_64.h ファイルで確認できます。複数のシステムコールを 1 つのルールにまとめることができ、それぞれを独自の -S オプションの後に指定することができます。
  • path_to_executable_file は、監査される実行可能ファイルへの絶対パスです。
  • key_name は、どのルールまたはルールセットが特定のログエントリーを生成したかを特定する際に役立つオプションの文字列です。

例7.3 実行可能なファイルルール

/bin/id プログラムのすべての実行をログに取得するルールを定義するには、次のコマンドを実行します。
~]# auditctl -a always,exit -F exe=/bin/id -F arch=b64 -S execve -k execution_bin_id