Como monitorar o syscalls sendo chamado por um usuário no FreeBSD usando auditoria?

2

Eu gostaria de monitorar cada syscall sendo chamado no meu FreeBSD usando auditd . Eu sei que é possível no Linux, mas não posso encontre qualquer informação sobre como eu devo configurar o FreeBSD.

É possível monitorar todas as chamadas do sistema no FreeBSD?

Detaills

Meu /etc/security/audit_control se parece com isso no momento:

#
# $FreeBSD: releng/10.3/contrib/openbsm/etc/audit_control 293161 2016-01-04 16:32:21Z brueffer $
#
dir:/var/audit
dist:off
flags:lo,aa
minfree:5
naflags:lo,aa
policy:cnt,argv
filesz:2M
expire-after:10M

Sinalizadores são definidos para auditar tudo e a política está definido para gravar a linha de comando em execve(2) (veja audit_control(5) ).

    
por Mateusz Piotrowski 15.08.2016 / 01:30

1 resposta

0

Parece que houve um erro de digitação no meu /etc/security/audit_control :

#
# $FreeBSD: releng/10.3/contrib/openbsm/etc/audit_control 293161 2016-01-04 16:32:21Z brueffer $
#
dir:/var/audit
dist:off
flags:all
minfree:5
naflags:all
policy:cnt,argv,arge,seq,
filesz:2M
expire-after:10M

Essa configuração produz uma quantidade insana de trilhas de auditoria.

No Linux Audit, eles estão presentes nos campos a0 , a1 , a2 e a3 explicitamente, enquanto no formato do OpenBSM eles são armazenados nos tokens de argumentos (consulte audit.log(5) ).

Por exemplo:

header,108,11,close(2),0,Mon Aug 15 01:47:53 2016, + 865 msec
argument,1,0x6,fd
attribute,644,root,wheel,88,3148396,6394391
subject,-1,root,wheel,root,wheel,1721,0,0,0.0.0.0
return,success,0
trailer,108
    
por 15.08.2016 / 01:52