B.2. 审核记录类型

表 B.2 “记录类型” 列举了所有支持当前审核记录的类型。事件类型在每个审核记录开头的type= 的字段中被指定。

表 B.2. 记录类型

事件类型解释
ADD_GROUP当添加用户空间组时被触发。
ADD_USER当添加用户空间的用户账号时被触发。
ANOM_ABEND[a]当一个过程非正常终止(如果被启用,一个信号会导致核心转储)时被触发。
ANOM_ACCESS_FS[a]当文档或目录访问非正常终止时被触发。
ANOM_ADD_ACCT[a]当用户空间账号添加非正常终止时被触发。
ANOM_AMTU_FAIL[a]当 AMTU(AMTU 抽象机器测试工具)的失败被检测到时被触发。
ANOM_CRYPTO_FAIL[a]当加密系统的失败被检测到时被触发。
ANOM_DEL_ACCT[a]当用户空间账号删除非正常终止时被触发。
ANOM_EXEC[a]当文档的执行非正常终止时被触发。
ANOM_LOGIN_ACCT[a]当尝试登录账号非正常终止时被触发。
ANOM_LOGIN_FAILURES[a]当已达到失败登录的限制时被触发。
ANOM_LOGIN_LOCATION[a]当登录尝试发生在禁区时被触发。
ANOM_LOGIN_SESSIONS[a]当登录尝试达到最大并发会话量时被触发。
ANOM_LOGIN_TIME[a]当登录尝试在某时被例如 pam_time 阻止时被触发。
ANOM_MAX_DAC[a]当达到 DAC( 自定义访问控制)失败的最大值时被触发。
ANOM_MAX_MAC[a]当已达到 MAC ( 强制访问控制)的最大量时被触发。
ANOM_MK_EXEC[a]当文档可执行时被触发。
ANOM_MOD_ACCT[a]当用户空间账号的修改非正常终止时被触发。
ANOM_PROMISCUOUS[a]当启用或停用混杂模式时被触发。
ANOM_RBAC_FAIL[a]当检测到 RBAC(基于角色访问控制)自测失败时被触发。
ANOM_RBAC_INTEGRITY_FAIL[a]当检测到 RBAC( 基于角色访问控制)文档完整性测试失败时被触发。
ANOM_ROOT_TRANS[a]当用户变成根用户时被触发。
AVC被触发后以记录 SELinux 的权限检查。
AVC_PATH当 SELinux 进行权限检查时被触发来记录 dentryvfsmount 组。
BPRM_FCAPS当用户以文档系统的许可范围来执行一个项目时被触发。
CAPSET被触发来记录为基于过程而设置的能力,例如,作为根用户运行时抵御的能力。
CHGRP_ID当用户空间群组 ID 被改变时被触发。
CHUSER_ID当用户空间用户 ID 被改变时被触发。
CONFIG_CHANGE当审核系统配置被修改时被触发。
CRED_ACQ当用户需要用户空间凭证时被触发。
CRED_DISP当用户释放用户空间凭据时被触发。
CRED_REFR当用户刷新其用户空间凭据时被触发。
CRYPTO_FAILURE_USER当解密、加密或随机加密操作失败时被触发。
CRYPTO_KEY_USER被触发以记录用于加密目的的密钥标示符。
CRYPTO_LOGIN当加密管理员登录尝试被觉察时被触发。
CRYPTO_LOGOUT当加密管理员注销尝试被觉察时被触发。
CRYPTO_PARAM_CHANGE_USER当加密参数改变被觉察时被触发。
CRYPTO_REPLAY_USER当重播攻击被觉察时被触发。
CRYPTO_SESSION被触发以记录在 TLS 会话建立过程中的参数。
CRYPTO_TEST_USER被触发来记录根据 FIPS-140 标准要求的加密测试结果。
CWD被触发来记录当前工作目录。
DAC_CHECK被触发来记录 DAC 检查结果。
DAEMON_ABORT当守护程序因为错误终止时被触发。
DAEMON_ACCEPTauditd 守护程序接受远程连接时被触发。
DAEMON_CLOSEauditd 守护程序关闭远程连接时被触发。
DAEMON_CONFIG当守护程序配置变换被检测到时被触发。
DAEMON_END当守护程序被成功停止时被触发。
DAEMON_RESUMEauditd 守护程序恢复登录时被触发。
DAEMON_ROTATEauditd 守护程序切换审核日志文件时被触发。
DAEMON_STARTauditd 守护程序启动时被触发。
DEL_GROUP当用户空间组被删除时被触发。
DEL_USER当用户空间用户被删除时被触发。
DEV_ALLOC当设备被分配时被触发。
DEV_DEALLOC当设备被释放时被触发。
EOE被触发以记载多记录事件。
EXECVE被触发以记录 execve(2) 系统调用的参数。
FD_PAIR触发以记录使用 pipesocketpair 的系统调用。
FS_RELABEL当文件系统重新标记的操作被检测到时被触发。
GRP_AUTH当一组密码被用来验证用户空间组时被触发。
INTEGRITY_DATA[b]被触发以记录由内核运作的数据完整性验证事件。
INTEGRITY_HASH[b]被触发以记录由内核运作的散列型完整性验证事件。
INTEGRITY_METADATA[b]被触发以记录由内核运作的元数据完整性验证事件。
INTEGRITY_PCR[b]被触发以记录 PCR(平台配置寄存器)的无效信息。
INTEGRITY_RULE[b]被触发以记录政策规则。
INTEGRITY_STATUS[b]被触发以记录完整性验证的状态。
IPC被触发以记录关于由系统调用的关于进程间通信对象的信息。
IPC_SET_PERM被触发以记录 IPC_SET 关于一个 IPC 客体的管理操作设定的新值的相关信息。
KERNEL被触发以记录审核系统的初始化。
KERNEL_OTHER被触发以记录第三方内核模块的信息。
LABEL_LEVEL_CHANGE当对象的层次结构被修改时被触发。
LABEL_OVERRIDE当管理员重写对象的层次结构时被触发。
LOGIN当用户登录并进入系统时被触发以记录相关登录信息。
MAC_CIPSOV4_ADD当 CIPSO(商业网络条款安全选项)用户名增加了新的 DOI(域名解释)时被触发。增加 DOI(域名解释)是由 NetLabel 提供的内核组合标签容量的一部分。
MAC_CIPSOV4_DEL当一个 CIPSO 用户名删除了已存在的 DOI。增加 DOI 是由 NetLabel 提供的内核组合标签容量的一部分。
MAC_CONFIG_CHANGE当一个 SELinux 的布尔值被改变时被触发。
MAC_IPSEC_EVENT当一个 IPSec 的事件被检测到或者当 IPSec 配置改变时被触发以记录信息。
MAC_MAP_ADD当一个新的 LSM(Linux 安全模式)的域映射被添加时被触发。LSM 域映射是由 NetLabel 提供的内核组合标签容量的一部分。
MAC_MAP_DEL当一个几寸的域映射被添加时被触发。LSM 域映射是由 NetLabel 提供的内核组合标签容量的一部分。
MAC_POLICY_LOAD当 SELinux 政策文档被加载时被触发。
MAC_STATUS当 SELinux 模式(启动、批准、关闭)被改变时被触发。
MAC_UNLBL_ALLOW当使用由 NetLabel 提供的内核组合标签容量时且未贴标的流量被允许时被触发。
MAC_UNLBL_STCADD当使用由 NetLabel 提供的内核组合标签容量并静态贴标被添加时被触发。
MAC_UNLBL_STCDEL当使用由 NetLabel 提供的内核组合标签容量且一个静态贴标被删除时被触发。
MMAP被触发以记录文档的描述符以及mmap(2)系统调用的标志。
MQ_GETSETATTR被触发以记录mq_getattr(3)mq_setattr(3)的信息队列特性。
MQ_NOTIFY被触发以记录 mq_notify(3)系统调用的参数。
MQ_OPEN被触发以记录 mq_open(3)系统调用的参数。
MQ_SENDRECV被触发以记录 mq_send(3)mq_receive(3) 系统调用的参数。
NETFILTER_CFG当网络过滤器的链修改被检测到时被触发。
NETFILTER_PKT被触发以记录遍历网络过滤器链的数据包。
OBJ_PID被触发以记录关于信号被发出的过程信息。
PATH被触发以记录文档名字路径信息。
RESP_ACCT_LOCK[c]当用户账号被锁定时被触发。
RESP_ACCT_LOCK_TIMED[c]当用户账号在一个特定时间内被锁定时被触发。
RESP_ACCT_REMOTE[c]当用户账号被远程锁定时被触发。
RESP_ACCT_UNLOCK_TIMED[c]当用户账号在已配置的时间后被解锁时被触发。
RESP_ALERT[c]当警报电子邮件被发送时被触发。
RESP_ANOMALY[c]当一个异常没有在操作时被触发。
RESP_EXEC[c]当一个入侵检测项目对于源于项目执行的威胁做出反应时被触发。
RESP_HALT[c]当系统被关闭时被触发。
RESP_KILL_PROC[c]当进程被终止时被触发。
RESP_SEBOOL[c]当 SELinux 的布尔值被设置时被触发。
RESP_SINGLE[c]当系统被设定为单一用户模式时被触发。
RESP_TERM_ACCESS[c]当会话终止时被触发。
RESP_TERM_LOCK[c]当终端被锁定时被触发。
ROLE_ASSIGN当管理员指定了一个用户的 SELinux 角色时被触发。
ROLE_MODIFY当管理员修改一个 SELinux 角色时被触发。
ROLE_REMOVE当管理员从 SELinux 角色中将用户名移除时被触发。
SELinux_ERR当内部 SELinux 错误被检测到时被触发。
SERVICE_START当服务启动时被触发。
SERVICE_STOP当服务停止时被触发。
SOCKADDR被触发以记录套接字地址或者被系统调用调回。
SOCKETCALL被触发以记录 sys_socketcall 系统调用的参数(被用来复合多数套接字相关的系统调用)。
SYSCALL被触发以记录内核的系统调用。
SYSTEM_BOOT当系统被启动时被触发。
SYSTEM_RUNLEVEL当系统的允许水平被改变时被触发。
SYSTEM_SHUTDOWN当系统被关闭时被触发。
TEST被触发以记录测试信息的成功值。
TRUSTED_APP此种类型的记录可以被需要审核的第三方应用使用。
TTY当 TTY 输入被发送到管理过程时被触发。
USER_ACCT当用户空间用户账号被修改时被触发。
USER_AUTH当用户空间的身份验证尝试被检测到时被触发。
USER_AVC当用户空间的 AVC 信息生成时被触发。
USER_CHAUTHTOK当用户账号特性被修改时被触发。
USER_CMD当用户空间的 shell 命令被执行时被触发。
USER_END当用户空间会话被终止时被触发。
USER_ERR当用户账号状态错误被检测到时被触发。
USER_LABELED_EXPORT当一个对象被导出了 SELinux 标签时被触发。
USER_LOGIN当用户登录时被触发。
USER_LOGOUT当用户注销时被触发。
USER_MAC_POLICY_LOAD当用户空间的守护程序在上载一项 SELinux 政策时被触发。
USER_MGMT被触发以记录用户空间管理数据。
USER_ROLE_CHANGE当用户的 SELinux 角色被改变时被触发。
USER_ SELinux_ERR当用户空间 SELinux 错误被检测到时被触发。
USER_START当用户空间会话开始时被触发。
USER_TTY当关于 TTY 输入到一个管理过程的解释信息是从用户空间发送时被触发。
USER_UNLABELED_EXPORT当对象被导出并没有 SELinux 标签时被触发。
USYS_CONFIG当用户空间系统的参数变化被检测到时被触发。
VIRT_CONTROL当虚拟机器被启动、暂停或停止时被触发。
VIRT_MACHINE_ID被触发以记录虚拟机器的标签绑定。
VIRT_RESOURCE被触发以记录虚拟机器的资源配置。
[a] 所有预制ANOM的审核事件类型都预计被入侵检测程序处理。
[b] 这个事件类型与 IMA(完整性度量架构)有关,并与 TPM(可信平台模块)芯片运行得最好。
[c] 所有预置RESP的审核事件类型都是设定好的对于预防其检测出系统内有恶性事件对于入侵检测系统的反应。