다음과 같이 명령에 auditd 규칙을 적용했습니다 jcmd.
auditctl -w /usr/bin/jcmd -p x -k jvm_debug
그러나 실행하면 로그가 기록되지 않습니다.
이 주제에 대한 가이드와 이전 질문을 확인하세요. 동일한 형식을 사용하지만 명령을 who예로 사용합니다.
그래서 나는 이것을 시도했습니다.
auditctl -w /usr/bin/who -p x -k who
이 who명령의 경우 auditd는 실행 시 로그에 기록합니다.
추가 디버깅을 위해 를 사용하여 이러한 명령을 실행하고 시스템 호출을 따르 strace도록 지시합니다 . 열면 주로 라이브러리에 대한 호출이 표시되지만 실행 파일은 표시되지 않습니다. 그러나 두 명령 strace 출력은 내가 실행하는 파일에 대한 시스템 호출로 시작됩니다.openexecveexecve
execveauditd가 이 명령에 대한 시스템 호출을 "누락" 했지만 이 명령에 대한 시스템 호출은 " 누락" jcmd하지 않는 이유는 무엇입니까?who