Parece que houve um erro de digitação no meu /etc/security/audit_control
:
#
# $FreeBSD: releng/10.3/contrib/openbsm/etc/audit_control 293161 2016-01-04 16:32:21Z brueffer $
#
dir:/var/audit
dist:off
flags:all
minfree:5
naflags:all
policy:cnt,argv,arge,seq,
filesz:2M
expire-after:10M
Essa configuração produz uma quantidade insana de trilhas de auditoria.
No Linux Audit, eles estão presentes nos campos a0
, a1
, a2
e a3
explicitamente, enquanto no formato do OpenBSM eles são armazenados nos tokens de argumentos (consulte audit.log(5)
).
Por exemplo:
header,108,11,close(2),0,Mon Aug 15 01:47:53 2016, + 865 msec argument,1,0x6,fd attribute,644,root,wheel,88,3148396,6394391 subject,-1,root,wheel,root,wheel,1721,0,0,0.0.0.0 return,success,0 trailer,108