附录 B. 审核系统引用

B.1. 审核事件字段

表 B.1 “事件字段” 列举了目前所有获得支持的审核事件字段。一个事件字段是在审计日志文档中等号前的值。

表 B.1. 事件字段

事件字段解释
a0, a1, a2, a3记录系统调用前四个参数,标为十六进制。
acct记录用户账号名。
addr记录 IPv4 或者 IPv6 地址,这一字段通常紧随一个 hostname 字段并包含主机名解释地址。
arch记录关于中央处理器结构的系统信息,以十六进制编码。
auid记录审核用户身份。当用户身份改变的时候,身份在登录时被指定给另一个用户并在每次操作时继承(例如,用 su - john 切换用户名)。
capability记下二进制位的数字,用来设置 Linux 功能。 更多关于 Linux 功能的信息,参见 capabilities(7) 页。
cap_fi记录的数据与文件系统功能设置。
cap_fp记录与设置一个与许可文件系统功能相关的数据。
cap_pe记下与设置有效处理功能相关的数据。
cap_pi记下与设置继承处理功能相关的数据。
cap_pp记下与设置许可处理功能相关的数据。
cap_pp记下 cgroup 的路径,其中包含处理审计时间生产的处理。
cap_pp记下整条执行的命令行。这在 shell 解释程序在 exe 输入栏 record 领域记录时有用,例如,/bin/bash 在 shell 解释程序和 cmd 其余执行的命令行字段记录,例如, helloworld.sh --help.
comm 记录被执行的要求。这在 exe 的字段记录在 shell 解译程序中很有用,例如/bin/bash 作为套解译程序以及 comm 字段记录的脚本被执行,或者在执行helloworld.sh 时很有用。
cwd记录系统调用目录路径。
data记下TTY记录相关数据。
dev记录设备中的次要和主要ID,包含事件记录的文件或目录。
devmajor记录主要设备ID。
devminor记录次要设备ID。
egid记录开始分析进程用户的有效组ID。
euid记录开始分析进程用户的有效用户ID。
exe记录曾调用分析进程的可执行路径。
exit记录由系统调用返回的退出代码。此值随系统调动变化。可以将此值解释给它的人类可以读得懂的对应值,根据以下命令:ausearch --interpret --exit exit_code
family记录使用的地址协议类型,IPv4 还是 IPv6。
filetype记录文件类型。
flags记录文件系统名标志。
fsgid记录开始分析进程的用户文件系统组ID。
fsuid记录开始分析进程的用户文件系统用户 ID。
gid记录组 ID。
hostname记录主机名称。
icmptype记录接收到的 ICMP (因特网信息控制协议)包类型。审核包含这一字段的信息,通常由iptables 生成。
id记录变动账户的用户 ID。
inode记录在审核时,关联文件或目录的 inode 数字。
inode_gid记录 inode 所有者的组 ID。
inode_uid记录 inode 所有者的用户 ID。
items记录路径数目,该记录会被附加。
key记录与在审核日志中能产生一个特定事件条例相关的用户定义字符串。
list记录审查规则列表 ID。以下是列表已知的 ID 是:
  • 0 — user
  • 1 — task
  • 4 — exit
  • 5 — exclude
mode记录文件目录权限,以数值表示法编码。
msg记录时间戳和记录中的唯一 ID ,或者不同的事件特定 <name>=<value> 匹配,由内核或用户空间应用提供。
msgtype记录基于用户的 AVC 拒绝返回的信息类型 。信息类型由 D-Bus 决定。
name记录以自变量形式传到系统调用的全部文件或目录路径。
new-disk记录分配给虚拟机的新磁盘资源名字。
new-mem记录分配给虚拟机的新记忆资源数量。
new-vcpu记录分配给虚拟机的新虚拟 CPU 资源的数量。
new-net记录分配给虚拟机的新网络界面资源的 MAC 地址。
new_gid记录指定给用户的组 ID。
oauid记录登录进入系统用户的用户 ID(预期相对的是,例如,使用su)并开始目标进程。这一字段专用于记录类型OBJ_PID
ocomm记录用来启动目标进程的命令。这一字段专用于记录类型 OBJ_PID
opid记录目标进程的进程 ID。这一字段专用于记录类型 OBJ_PID
oses记录目标进程的会话 ID。这一字段专属于记录类型 OBJ_PID
ouid记录目标进程中的真实用户 ID。
obj记录以 SELinux 为对象的内容,该对象可以是文档、目录、承接,或任何一个被动接受的物体。
obj_gid记录对象的组 ID。
obj_lev_high记录对象的高 SELinux 级别。
obj_lev_low记录对象的低 SELinux 级别。
obj_role记录对象的 SELinux 角色。
obj_uid记录对象的 UID。
obj_user记录对象的关联用户。
ogid记录对象所有者的群组 ID。
old-disk当一个新的磁盘资源被分配给一个虚拟机时记录旧磁盘资源的名字。
old-mem当新内存额被指定给虚拟机时,记录旧的内存资源总额。
old-vcpu当新虚拟 CPU 被指定给虚拟机,记录旧虚拟 CPU 资源。
old-net当新的网络界面被指定给虚拟机时,记录 MAC 地址的旧网络界面资源。
old_prom记录网络混杂标志的上一个值。
ouid记录开始目标进程的真实用户 ID。
path记录以自变量形式传到系统调用的全部文件或目录路径。
perm记录曾调用分析进程的可执行路径。(即,读、写、操作或者变更属性)
pid
pid语义场取决于该领域起源的价值。
由用户控件衍生出来的领域,该领域拥有一个操作 ID。
在由内核衍生的领域,该领域拥有一个线程号。线程号等同于单线进程中的进程标识。注明该线程号的值和 pthread_t 在用户空间账号所用值是不一样的。更多信息,参考 gettid(2) 操作说明。
ppid记录父进程标识(Parent PID)。
prom记录网络简短社交活动标志。
proto记录曾用的网络协议。这个领域是专门针对由 iptables 衍生的审核事件的。
res记录引发审核事件操作的结果。
result记录引发审核事件操作的结果。
saddr记录套接地址。
sauid记录发送者的审计登录用户账号。这个账号由作为内核的 D-Bus 提供,并不能看到哪个用户发送了最初的auid
ses记录会话 ID,在该会话中分析过程被调用。
sgid记录开始分析进程用户的群组 ID。
sig记录导致项目异常终止的信号代码。通常,这是一个系统被入侵的迹象。
subj记录以 SELinnux 为对象的内容,这个对象可以是一个过程、一个用户、或者是任何对目标起作用的事物。
subj_clr记录 SELinux 对象的清除许可。
subj_role记录对象的 SELinux 的角色。
subj_sen记录对象 SELinux 的敏感度。
subj_user记录和主题相关的用户。
success记录系统调用是成功还是失败。
suid记录开启分析过程用户的设置用户 ID。
syscall记录发送到内核的系统调用类型。
terminal记录终端名称(不包括/dev/)。
tty记录控制终端的名称。如果过程没有控制终端,则用 (none)的值。
uid记录启动分析进程的用户的真实 ID。
vm记录产生审核事件的虚拟机名称。