获取有关 linux 中审计事件的通知
Posted
技术标签:
【中文标题】获取有关 linux 中审计事件的通知【英文标题】:Get notified about audit events in linux 【发布时间】:2021-10-29 17:22:06 【问题描述】:我正在使用 auditd 来定义一些我想要审计的事件,例如
./auditctl -w /some/local/folder -p wa -k MyRule
当例如我在文件夹结果中创建了一个文件
2021-08-30 15:30:34.160 24217-24217/? W/sh: type=1300 audit(0.0:60421): arch=c00000b7 syscall=56 success=yes exit=3 a0=ffffff9c a1=71a6e2aa88 a2=241 a3=1b6 items=2 ppid=23092 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts1 ses=4294967295 exe="/system/bin/sh" subj=u:r:su:s0 key="MyRule "
我正在寻找方法来获得有关这些事件的通知,最好是通过编程方式。
我在那个 repo 中的自定义 AOSP 上运行,但我也可以尝试“常规”linux 解决方案(因为这些解决方案可能会通过管道传输到可以在 android 上运行的东西)。
【问题讨论】:
【参考方案1】:您可以使用 cron 定期调用 auserach 指定开始和结束时间(--start、--end),然后执行您想要发送通知的任何操作,也许是触发意图。
【讨论】:
以上是关于获取有关 linux 中审计事件的通知的主要内容,如果未能解决你的问题,请参考以下文章