web-dev-qa-db-ja.com

auditd / aureportでの成功イベントと失敗イベントの違い

aureportコマンドには、表示されるイベントのリストを成功したイベントと失敗したイベントに制限する2つのオプションがあります。マニュアルページによると:

   --failed
          Only select failed events for processing in the reports. The default is both success and failed events.
   --success
          Only select successful events for processing in the reports. The default is both success and failed events.

これは何を意味するのでしょうか?実際のイベント(ゼロ以外を返したシステムコールなど)に関する失敗/成功ですか、それともauditdに失敗/成功が適用され、イベントの処理に問題があったかどうかがわかりますか?

linuxauditd
2
Christopher Neylan

https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Security_Guide/app-Audit_Reference.html#sec-Audit_Events_Fields によると:

successシステムコールが成功したか失敗したかを記録します。

同じガイドで、監査済みイベントの簡単なウォークスルーを提供しています https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Security_Guide/sec-Understanding_Audit_Log_Files.html .

success = no成功フィールドは、その特定のイベントで記録されたシステムコールが成功したか失敗したかを記録します。この場合、呼び出しは成功しませんでした。

ただし、resフィールドがfailedであるイベント(USER_LOGINやCRYPTO_KEY_USERなど)など、他のイベントも失敗と見なすことができます。

resAuditイベントをトリガーした操作の結果を記録します。

また、以下を実行することで、これらのイベントが何であるかを知ることができます。

Sudo aureport -i --failed -e

これにより、対象となる呼び出し/イベントのタイプがわかります。これらは(少なくとも私のシステムでは)SYSCALLだけでなく、他のイベント(たとえば、前述のUSER_LOGINなど)でもあります。

0
iwaseatenbyagrue