Eu coloquei uma regra de auditoria no comando jcmd
da seguinte forma:
auditctl -w /usr/bin/jcmd -p x -k jvm_debug
No entanto, quando eu o executo, ele não escreve nada para registrar.
Olhando para guias e questões anteriores sobre este assunto, eles usam o mesmo formato, mas dão o comando who
como exemplo.
Então eu tentei também:
auditctl -w /usr/bin/who -p x -k who
Para o comando who
, o auditd escreve um log ao executá-lo.
apenas para depuração adicional, executei esses comandos com strace
, informando para seguir open
e execve
syscalls.
Com o open, estou vendo principalmente chamadas para bibliotecas, mas não o executável. No entanto, ambos os comandos strace a saída, começa com um execve
syscall para o arquivo que eu corri.
Como é que o auditd "perde" a chamada do sistema execve
para o comando jcmd
, mas não para o comando who
?