![종료 중에 기록된 감사 메시지를 해석하는 방법은 무엇입니까? [폐쇄]](https://linux55.com/image/116930/%EC%A2%85%EB%A3%8C%20%EC%A4%91%EC%97%90%20%EA%B8%B0%EB%A1%9D%EB%90%9C%20%EA%B0%90%EC%82%AC%20%EB%A9%94%EC%8B%9C%EC%A7%80%EB%A5%BC%20%ED%95%B4%EC%84%9D%ED%95%98%EB%8A%94%20%EB%B0%A9%EB%B2%95%EC%9D%80%20%EB%AC%B4%EC%97%87%EC%9E%85%EB%8B%88%EA%B9%8C%3F%20%5B%ED%8F%90%EC%87%84%5D.png)
내 컴퓨터(RHEL 7.4)가 종료 중에 다음 감사 메시지와 함께 중단됩니다.
type=1300 audit(1503569606.186:27573): arch=c000003e syscall=2 sucess=no exit=-13 a0=7ffee8a3db90 a1=2 a2=64 a3=16 items=1 ppid=1 pid=19786 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=4294967295 comm="mdmon" exe="/usr/sbin/mdmon" subj=system_u:system_r:init_t:s0 key="CheckFileAccess"
type=1307 audit(1503569606.186:27573): cwd="/"
type=1302 audit(1503569606.186:27573): item=0 name="/sys/block/md126/md/sync_completed" inode=33831 dev=00:11 mode=0100444 ouid=0 ogid=0 rdev=00:00 obj=system_u:object_r:sysfs_t:s0 objtype=NORMAL
type=1327 audit(1503569606.186:27573): proctitle=40646D6F6E002D2D74616B656F766572006D64313237
보통 나는
ausearch --interpret --file /home/user1/audit_shutdown.log
메시지를 해석하지만 출력만 수행됩니다.
<no matches>
일반적인 메시지는 다음과 같습니다.
type=SYSCALL msg=audit(1364481363.243:24287): arch=c000003e syscall=2 success=no exit=-13 a0=7fffd19c5592 a1=0 a2=7fffd19c4b50 a3=a items=1 ppid=2686 pid=3538 auid=1000 uid=1000 gid=1000 euid=1000 suid=1000 fsuid=1000 egid=1000 sgid=1000 fsgid=1000 tty=pts0 ses=1 comm="cat" exe="/bin/cat" subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key="sshd_config"
type=CWD msg=audit(1364481363.243:24287): cwd="/home/shadowman"
type=PATH msg=audit(1364481363.243:24287): item=0 name="/etc/ssh/sshd_config" inode=409248 dev=fd:00 mode=0100600 ouid=0 ogid=0 rdev=00:00 obj=system_u:object_r:etc_t:s0
type=PROCTITLE msg=audit(1364481363.243:24287) : proctitle=636174002F6574632F7373682F737368645F636F6E666967
1300 = SYSCALL 등인 것 같아요. 하지만 어떻게 확신할 수 있나요?
답변1
나는 잘못된 주장을 사용했습니다.
--file 파일을 검색합니다.
--input 파일을 입력으로 사용합니다.
그래서
ausearch --interpret -input /home/user1/audit_shutdown.log
파일을 올바르게 해석