Show Table of Contents
B.2. 审核记录类型
表 B.2 “记录类型” 列举了所有支持当前审核记录的类型。事件类型在每个审核记录开头的
type= 的字段中被指定。
表 B.2. 记录类型
| 事件类型 | 解释 |
|---|---|
ADD_GROUP | 当添加用户空间组时被触发。 |
ADD_USER | 当添加用户空间的用户账号时被触发。 |
ANOM_ABEND[a] | 当一个过程非正常终止(如果被启用,一个信号会导致核心转储)时被触发。 |
ANOM_ACCESS_FS[a] | 当文档或目录访问非正常终止时被触发。 |
ANOM_ADD_ACCT[a] | 当用户空间账号添加非正常终止时被触发。 |
ANOM_AMTU_FAIL[a] | 当 AMTU(AMTU 抽象机器测试工具)的失败被检测到时被触发。 |
ANOM_CRYPTO_FAIL[a] | 当加密系统的失败被检测到时被触发。 |
ANOM_DEL_ACCT[a] | 当用户空间账号删除非正常终止时被触发。 |
ANOM_EXEC[a] | 当文档的执行非正常终止时被触发。 |
ANOM_LOGIN_ACCT[a] | 当尝试登录账号非正常终止时被触发。 |
ANOM_LOGIN_FAILURES[a] | 当已达到失败登录的限制时被触发。 |
ANOM_LOGIN_LOCATION[a] | 当登录尝试发生在禁区时被触发。 |
ANOM_LOGIN_SESSIONS[a] | 当登录尝试达到最大并发会话量时被触发。 |
ANOM_LOGIN_TIME[a] | 当登录尝试在某时被例如 pam_time 阻止时被触发。 |
ANOM_MAX_DAC[a] | 当达到 DAC( 自定义访问控制)失败的最大值时被触发。 |
ANOM_MAX_MAC[a] | 当已达到 MAC ( 强制访问控制)的最大量时被触发。 |
ANOM_MK_EXEC[a] | 当文档可执行时被触发。 |
ANOM_MOD_ACCT[a] | 当用户空间账号的修改非正常终止时被触发。 |
ANOM_PROMISCUOUS[a] | 当启用或停用混杂模式时被触发。 |
ANOM_RBAC_FAIL[a] | 当检测到 RBAC(基于角色访问控制)自测失败时被触发。 |
ANOM_RBAC_INTEGRITY_FAIL[a] | 当检测到 RBAC( 基于角色访问控制)文档完整性测试失败时被触发。 |
ANOM_ROOT_TRANS[a] | 当用户变成根用户时被触发。 |
AVC | 被触发后以记录 SELinux 的权限检查。 |
AVC_PATH | 当 SELinux 进行权限检查时被触发来记录 dentry 和vfsmount 组。 |
BPRM_FCAPS | 当用户以文档系统的许可范围来执行一个项目时被触发。 |
CAPSET | 被触发来记录为基于过程而设置的能力,例如,作为根用户运行时抵御的能力。 |
CHGRP_ID | 当用户空间群组 ID 被改变时被触发。 |
CHUSER_ID | 当用户空间用户 ID 被改变时被触发。 |
CONFIG_CHANGE | 当审核系统配置被修改时被触发。 |
CRED_ACQ | 当用户需要用户空间凭证时被触发。 |
CRED_DISP | 当用户释放用户空间凭据时被触发。 |
CRED_REFR | 当用户刷新其用户空间凭据时被触发。 |
CRYPTO_FAILURE_USER | 当解密、加密或随机加密操作失败时被触发。 |
CRYPTO_KEY_USER | 被触发以记录用于加密目的的密钥标示符。 |
CRYPTO_LOGIN | 当加密管理员登录尝试被觉察时被触发。 |
CRYPTO_LOGOUT | 当加密管理员注销尝试被觉察时被触发。 |
CRYPTO_PARAM_CHANGE_USER | 当加密参数改变被觉察时被触发。 |
CRYPTO_REPLAY_USER | 当重播攻击被觉察时被触发。 |
CRYPTO_SESSION | 被触发以记录在 TLS 会话建立过程中的参数。 |
CRYPTO_TEST_USER | 被触发来记录根据 FIPS-140 标准要求的加密测试结果。 |
CWD | 被触发来记录当前工作目录。 |
DAC_CHECK | 被触发来记录 DAC 检查结果。 |
DAEMON_ABORT | 当守护程序因为错误终止时被触发。 |
DAEMON_ACCEPT | 当 auditd 守护程序接受远程连接时被触发。 |
DAEMON_CLOSE | 当 auditd 守护程序关闭远程连接时被触发。 |
DAEMON_CONFIG | 当守护程序配置变换被检测到时被触发。 |
DAEMON_END | 当守护程序被成功停止时被触发。 |
DAEMON_RESUME | 当 auditd 守护程序恢复登录时被触发。 |
DAEMON_ROTATE | 当 auditd 守护程序切换审核日志文件时被触发。 |
DAEMON_START | 当 auditd 守护程序启动时被触发。 |
DEL_GROUP | 当用户空间组被删除时被触发。 |
DEL_USER | 当用户空间用户被删除时被触发。 |
DEV_ALLOC | 当设备被分配时被触发。 |
DEV_DEALLOC | 当设备被释放时被触发。 |
EOE | 被触发以记载多记录事件。 |
EXECVE | 被触发以记录 execve(2) 系统调用的参数。 |
FD_PAIR | 触发以记录使用 pipe 和 socketpair 的系统调用。 |
FS_RELABEL | 当文件系统重新标记的操作被检测到时被触发。 |
GRP_AUTH | 当一组密码被用来验证用户空间组时被触发。 |
INTEGRITY_DATA[b] | 被触发以记录由内核运作的数据完整性验证事件。 |
INTEGRITY_HASH[b] | 被触发以记录由内核运作的散列型完整性验证事件。 |
INTEGRITY_METADATA[b] | 被触发以记录由内核运作的元数据完整性验证事件。 |
INTEGRITY_PCR[b] | 被触发以记录 PCR(平台配置寄存器)的无效信息。 |
INTEGRITY_RULE[b] | 被触发以记录政策规则。 |
INTEGRITY_STATUS[b] | 被触发以记录完整性验证的状态。 |
IPC | 被触发以记录关于由系统调用的关于进程间通信对象的信息。 |
IPC_SET_PERM | 被触发以记录 IPC_SET 关于一个 IPC 客体的管理操作设定的新值的相关信息。 |
KERNEL | 被触发以记录审核系统的初始化。 |
KERNEL_OTHER | 被触发以记录第三方内核模块的信息。 |
LABEL_LEVEL_CHANGE | 当对象的层次结构被修改时被触发。 |
LABEL_OVERRIDE | 当管理员重写对象的层次结构时被触发。 |
LOGIN | 当用户登录并进入系统时被触发以记录相关登录信息。 |
MAC_CIPSOV4_ADD | 当 CIPSO(商业网络条款安全选项)用户名增加了新的 DOI(域名解释)时被触发。增加 DOI(域名解释)是由 NetLabel 提供的内核组合标签容量的一部分。 |
MAC_CIPSOV4_DEL | 当一个 CIPSO 用户名删除了已存在的 DOI。增加 DOI 是由 NetLabel 提供的内核组合标签容量的一部分。 |
MAC_CONFIG_CHANGE | 当一个 SELinux 的布尔值被改变时被触发。 |
MAC_IPSEC_EVENT | 当一个 IPSec 的事件被检测到或者当 IPSec 配置改变时被触发以记录信息。 |
MAC_MAP_ADD | 当一个新的 LSM(Linux 安全模式)的域映射被添加时被触发。LSM 域映射是由 NetLabel 提供的内核组合标签容量的一部分。 |
MAC_MAP_DEL | 当一个几寸的域映射被添加时被触发。LSM 域映射是由 NetLabel 提供的内核组合标签容量的一部分。 |
MAC_POLICY_LOAD | 当 SELinux 政策文档被加载时被触发。 |
MAC_STATUS | 当 SELinux 模式(启动、批准、关闭)被改变时被触发。 |
MAC_UNLBL_ALLOW | 当使用由 NetLabel 提供的内核组合标签容量时且未贴标的流量被允许时被触发。 |
MAC_UNLBL_STCADD | 当使用由 NetLabel 提供的内核组合标签容量并静态贴标被添加时被触发。 |
MAC_UNLBL_STCDEL | 当使用由 NetLabel 提供的内核组合标签容量且一个静态贴标被删除时被触发。 |
MMAP | 被触发以记录文档的描述符以及mmap(2)系统调用的标志。 |
MQ_GETSETATTR | 被触发以记录mq_getattr(3)和mq_setattr(3)的信息队列特性。 |
MQ_NOTIFY | 被触发以记录 mq_notify(3)系统调用的参数。 |
MQ_OPEN | 被触发以记录 mq_open(3)系统调用的参数。 |
MQ_SENDRECV | 被触发以记录 mq_send(3)和 mq_receive(3) 系统调用的参数。 |
NETFILTER_CFG | 当网络过滤器的链修改被检测到时被触发。 |
NETFILTER_PKT | 被触发以记录遍历网络过滤器链的数据包。 |
OBJ_PID | 被触发以记录关于信号被发出的过程信息。 |
PATH | 被触发以记录文档名字路径信息。 |
RESP_ACCT_LOCK[c] | 当用户账号被锁定时被触发。 |
RESP_ACCT_LOCK_TIMED[c] | 当用户账号在一个特定时间内被锁定时被触发。 |
RESP_ACCT_REMOTE[c] | 当用户账号被远程锁定时被触发。 |
RESP_ACCT_UNLOCK_TIMED[c] | 当用户账号在已配置的时间后被解锁时被触发。 |
RESP_ALERT[c] | 当警报电子邮件被发送时被触发。 |
RESP_ANOMALY[c] | 当一个异常没有在操作时被触发。 |
RESP_EXEC[c] | 当一个入侵检测项目对于源于项目执行的威胁做出反应时被触发。 |
RESP_HALT[c] | 当系统被关闭时被触发。 |
RESP_KILL_PROC[c] | 当进程被终止时被触发。 |
RESP_SEBOOL[c] | 当 SELinux 的布尔值被设置时被触发。 |
RESP_SINGLE[c] | 当系统被设定为单一用户模式时被触发。 |
RESP_TERM_ACCESS[c] | 当会话终止时被触发。 |
RESP_TERM_LOCK[c] | 当终端被锁定时被触发。 |
ROLE_ASSIGN | 当管理员指定了一个用户的 SELinux 角色时被触发。 |
ROLE_MODIFY | 当管理员修改一个 SELinux 角色时被触发。 |
ROLE_REMOVE | 当管理员从 SELinux 角色中将用户名移除时被触发。 |
SELinux_ERR | 当内部 SELinux 错误被检测到时被触发。 |
SERVICE_START | 当服务启动时被触发。 |
SERVICE_STOP | 当服务停止时被触发。 |
SOCKADDR | 被触发以记录套接字地址或者被系统调用调回。 |
SOCKETCALL | 被触发以记录 sys_socketcall 系统调用的参数(被用来复合多数套接字相关的系统调用)。 |
SYSCALL | 被触发以记录内核的系统调用。 |
SYSTEM_BOOT | 当系统被启动时被触发。 |
SYSTEM_RUNLEVEL | 当系统的允许水平被改变时被触发。 |
SYSTEM_SHUTDOWN | 当系统被关闭时被触发。 |
TEST | 被触发以记录测试信息的成功值。 |
TRUSTED_APP | 此种类型的记录可以被需要审核的第三方应用使用。 |
TTY | 当 TTY 输入被发送到管理过程时被触发。 |
USER_ACCT | 当用户空间用户账号被修改时被触发。 |
USER_AUTH | 当用户空间的身份验证尝试被检测到时被触发。 |
USER_AVC | 当用户空间的 AVC 信息生成时被触发。 |
USER_CHAUTHTOK | 当用户账号特性被修改时被触发。 |
USER_CMD | 当用户空间的 shell 命令被执行时被触发。 |
USER_END | 当用户空间会话被终止时被触发。 |
USER_ERR | 当用户账号状态错误被检测到时被触发。 |
USER_LABELED_EXPORT | 当一个对象被导出了 SELinux 标签时被触发。 |
USER_LOGIN | 当用户登录时被触发。 |
USER_LOGOUT | 当用户注销时被触发。 |
USER_MAC_POLICY_LOAD | 当用户空间的守护程序在上载一项 SELinux 政策时被触发。 |
USER_MGMT | 被触发以记录用户空间管理数据。 |
USER_ROLE_CHANGE | 当用户的 SELinux 角色被改变时被触发。 |
USER_ SELinux_ERR | 当用户空间 SELinux 错误被检测到时被触发。 |
USER_START | 当用户空间会话开始时被触发。 |
USER_TTY | 当关于 TTY 输入到一个管理过程的解释信息是从用户空间发送时被触发。 |
USER_UNLABELED_EXPORT | 当对象被导出并没有 SELinux 标签时被触发。 |
USYS_CONFIG | 当用户空间系统的参数变化被检测到时被触发。 |
VIRT_CONTROL | 当虚拟机器被启动、暂停或停止时被触发。 |
VIRT_MACHINE_ID | 被触发以记录虚拟机器的标签绑定。 |
VIRT_RESOURCE | 被触发以记录虚拟机器的资源配置。 |
[a]
所有预制 ANOM的审核事件类型都预计被入侵检测程序处理。
[b]
这个事件类型与 IMA(完整性度量架构)有关,并与 TPM(可信平台模块)芯片运行得最好。
[c]
所有预置 RESP的审核事件类型都是设定好的对于预防其检测出系统内有恶性事件对于入侵检测系统的反应。
| |
Where did the comment section go?
Red Hat's documentation publication system recently went through an upgrade to enable speedier, more mobile-friendly content. We decided to re-evaluate our commenting platform to ensure that it meets your expectations and serves as an optimal feedback mechanism. During this redesign, we invite your input on providing feedback on Red Hat documentation via the discussion platform.