diferença entre o sucesso e o evento com falha em auditd / aureport

2

O comando aureport tem duas opções que limitam a lista de eventos exibidos àqueles que foram bem-sucedidos e aqueles que falharam. Por página man:

   --failed
          Only select failed events for processing in the reports. The default is both success and failed events.
   --success
          Only select successful events for processing in the reports. The default is both success and failed events.

O que isso significa? A falha / sucesso em relação ao evento real (por exemplo, um syscall que retornou diferente de zero) ou a falha / sucesso se aplica a auditd e se houve ou não um problema no processamento do evento?

    
por Christopher Neylan 25.09.2012 / 23:22

1 resposta

0

De acordo com o link :

success Records whether a system call was successful or failed.

O mesmo guia fornece um rápido passo-a-passo de um evento auditd, link .

success=no The success field records whether the system call recorded in that particular event succeeded or failed. In this case, the call did not succeed.

No entanto, outros eventos também podem ser considerados falhas, como eventos em que o campo res é failed (por exemplo, USER_LOGIN ou CRYPTO_KEY_USER)

res Records the result of the operation that triggered the Audit event.

Você também pode ter uma ideia do que esses eventos estão executando:

sudo aureport -i --failed -e

Isso lhe dará uma noção dos tipos de chamadas / eventos cobertos, e aqueles (no meu sistema, pelo menos) não são apenas SYSCALLs, mas outros eventos (como o USER_LOGIN anteriormente mencionado, por exemplo).

    
por 11.03.2017 / 10:22

Tags