Posso ter certeza de que o nome do campo de um registro de auditoria do Linux é único?

3

Estou criando um analisador / conversor a partir do formato de auditoria do Linux. Enquanto estudava o formato, olhando exemplos e lendo a documentação, deparei com um problema.

Posso ter certeza de que os nomes de campo em um único registro são exclusivos ?

Por exemplo, um registro como este é legal / aparece em implementações do mundo real:

type=TYPE msg=audit(1.002:3): msg="the first msg field" msg="the second msg field"

A segunda questão relacionada é se posso haver apenas um pid em um evento? Por exemplo, este evento é legal / aparece em implementações do mundo real:

type=TYPE1 msg=audit(1.002:3): pid=0 msg="texthere"
type=TYPE2 msg=audit(1.002:3): pid=0 msg="differenttexthere"
    
por Mateusz Piotrowski 04.07.2016 / 16:06

1 resposta

0

De acordo com a resposta de Steve Grubb na lista de discussão oficial ( link para o e-mail ):

Resposta de Steve:

Is it possible that there are duplicate fields in a record?

     

Às vezes. Eu tentei consertar isso quando isso acontece. O problema é   que nem todo mundo executa seu código de auditoria por esta lista de e-mail para que   pode verificá-lo para ver se está bem formado. O que estou planejando fazer é   escrever um conjunto de validações de eventos de auditoria que verifique se os eventos estão   bem formada e que os eventos esperados estão sendo escritos quando são   deveria e na ordem que eles são supoosed para. Limpando   esses eventos estão no topo da minha lista TODO.

     

Something like (which doesn’t make much sense obviously):

    type=CWD msg=audit(1464013682.961:409):  cwd="/root” cwd=“/usr”
     

Algo como isso não vai acontecer, é mais provável em torno de auid e   uid. A razão é que o kernel adiciona algo automaticamente   porque é uma fonte confiável de informações. Espaço do usuário pode escrever   informação contraditória. Por exemplo, se um daemon está trabalhando   em nome de um usuário, mas seu auid não foi definido para o usuário, então você   pode ver isso.

tl; dr

É possível, no entanto, é incomum e desencorajado.

    
por 14.07.2016 / 18:36