나는 FreeBSD에서 호출되는 모든 시스템 호출을 모니터링하기 위해 .NET을 사용하고 싶습니다 auditd. Linux에서 이것이 가능하다는 것을 알고 있지만 FreeBSD를 구성하는 방법에 대한 정보를 찾을 수 없습니다.
FreeBSD에서 모든 시스템 호출을 모니터링하는 것이 가능합니까?
세부
지금 내 /etc/security/audit_control모습은 이렇습니다.
#
# $FreeBSD: releng/10.3/contrib/openbsm/etc/audit_control 293161 2016-01-04 16:32:21Z brueffer $
#
dir:/var/audit
dist:off
flags:lo,aa
minfree:5
naflags:lo,aa
policy:cnt,argv
filesz:2M
expire-after:10M
플래그는 모든 것을 감사하도록 설정되고 정책은 명령줄을 기록하도록 설정됩니다 execve(2)
(참고자료 참조 audit_control(5)).
답변1
광산에 오타가 있는 것 같습니다 /etc/security/audit_control.
#
# $FreeBSD: releng/10.3/contrib/openbsm/etc/audit_control 293161 2016-01-04 16:32:21Z brueffer $
#
dir:/var/audit
dist:off
flags:all
minfree:5
naflags:all
policy:cnt,argv,arge,seq,
filesz:2M
expire-after:10M
이 구성은 대규모 감사 추적을 생성합니다.
a0Linux Audit에서는 , 및 필드 에 명시적으로 존재 a1하지만 OpenBSM 형식에서는 매개변수 표시자에 저장 a2됩니다 a3(참고자료 참조 audit.log(5)).
예를 들어:
header,108,11,close(2),0,Mon Aug 15 01:47:53 2016, + 865 msec argument,1,0x6,fd attribute,644,root,wheel,88,3148396,6394391 subject,-1,root,wheel,root,wheel,1721,0,0,0.0.0.0 return,success,0 trailer,108