审计日志字段分析
type:审计消息类型。有超过100 种消息类型(单击审核消息类型了解更多信息)
更常见的是SYSCALL。这意味着该记录是由对内核的系统调用触发的。 msg:消息ID。分号之前是Unix时间戳,分号之后是实际的事件ID(同一应用程序内的相同系统调用具有相同的事件ID)。不同的系统调用是不同的。 ) Arch: 调用系统调用的CPU 架构syscall:系统调用的类型(可以使用ausyscall –dump 查看所有系统调用) success:显示系统调用是成功还是失败comm:任务列表,应用程序名称。 exe:二进制程序解析路径。 ses:用户登录会话ID。auid:审核ID。对于给定的用户,会为进程分配一个审核ID,并且当用户在系统内切换时,审核ID 会传递给子进程。始终保持一致。 这样您就可以跟踪特定用户。 a0 到a3:系统调用的前四个参数的编号。可以在ausearch解码项中显示。 Item:传递给应用程序的字符串数ppid:父进程的PID pid:进程的PIDuid:用户ID。 gid: 组ID。 euid、suid、fsuid: 有效用户ID、配置用户ID、文件系统用户ID。 egid、sgid、fsgid: 有效组ID、配置组ID 和文件系统组ID。 tty: 应用程序打开的终端(在本例中为伪终端)- SSH 会话中使用的终端。
附录1:auditctl -h
[auditadm@localhost ~]$ Auditctl -h
use: Auditctl [可选]
-a l,a 将带有操作的规则添加到列表末尾
-A l,a 将包含操作的规则添加到列表顶部
-b backlog 设置未完成审核缓冲区的最大数量
允许默认值=64
-c 规则中出现错误时继续
-C f=f 比较收集的字段(如果有):
字段名称、运算符(=、=)、字段名称
-d l,a 通过操作从列表中删除规则
l=任务、结束、用户、排除
a=从不、总是
-D 删除所有规则和监视
-e [0.2] 设置启用标志
-f [0.2] 设置失败标志
0=沉默1=打印2=恐慌
-F f=v 规则: 构造字段名,操作符(=,=,=,
=,=) 值
-h 帮助
-i 从文件读取规则时忽略错误
-k key 设置审核规则的过滤键。
-l 显示规则列表
-m text 发送用户空间消息
-p [r|w|x|a] 在手表上设置权限过滤器
r=读取、w=写入、x=执行、a=属性
-q mount,subtree 使子树成为挂载点目录监视的一部分
-r 速率设置消息/秒限制(0=无)
-R 从文件中读取规则
-s 报告状态
-S syscall 构建规则: 系统调用名称或编号
–signal signal 将指定的信号发送到守护进程。 -t 修剪目录监视。
-v版本
-w path 在路径上插入监视
-W path 删除路径监控
–loginuid-immutable 登录ID一旦设置,就无法更改
–backlog\\_wait\\_time 设置内核backlog_wait_time。
–reset-lost 重置丢失记录计数器。
附录2:systemcall 类型
在网上搜索时,很多人说他们指的是这个文件https://github.com/torvalds/linux/blob/master/arch/sh/include/asm/unistd.h。
# 不同系统之间存在差异
# 下面只是一个例子,数字代表类型的值
$ ausyscall –dump
使用aarch64 系统调用表:
0io_设置
1io_销毁
2io_提交
3io_取消
4io_getevents
5setx属性
6lsetx属性
7fsetx属性
8getxattr
9lgetxattr
10fgetxattr
11列表属性
12llistx属性
13flistx属性
14 删除属性
15lremovexattr 删除属性
16fremovexattr 16
17getcwd
18lookup_dcookie
19 事件FD2
20epoll_创建1
21epoll_ctl
22epoll_pwait
23dup
24dup3
25fcntl
26inotify_init1
27inotify_add_watch
28inotify_rm_watch
29ioctl
30ioprio_set
31ioprio_get
32 牛群
33 米诺达特
340,000 迪拉特
35 取消链接剪切
36 个符号链接
37 链接切断
38 重命名
39 安装2
40座
41 枢轴路线
42nfsservctl
43 状态
44fstatfs
45 减少
46英尺截断
47 法罗卡特
48楼访问
49ch目录
50fch目录
51chroot
52fchmod
53fchmodat
54f 胡桃木
55fchown
56开式螺母
57 关闭
58 面包车挂机
59管2
60个季度
61 得到凹痕
62l 寻找
63 读
64 写入
65readv
66写v
67 面包
68p写入
69 前瞻
70p写v
71 发送文件
72p选择6
73极
74 信号fd4
75vm接头
76 接头
77 球座
78 个阅读链接
79 新状态
80新fstat
81同步
82f同步
83f数据同步
84 同步文件范围
85timerfd_创建
86timerfd_设置时间
87timerfd_获取时间
88小时卫星
89帐户
获得90 个上限
91帽套
92 个性
93 退出
94 退出组
95 等待ID
96set_tid_地址
97 取消分享
98ftex
99set_robust_列表
100get_robust_列表
101纳米睡眠
102 获取定时器
103设定定时器
104kexec_load
105init_模块
106模块拆卸
107 定时器_创建
108timer_获取时间
109 Timer_Get 溢出
110 Timer_设置时间
111 定时器_删除
112 时钟设定时间
113 时钟_获取时间
114 时钟没了
115 时钟_纳米睡眠
116系统日志
117分比赛
第118章
119sched_setscheduler 119sched_setscheduler
120sched_getscheduler 120sched_getscheduler
121 sched_getparam
122sched_setaffinity 122sched_setaffinity
123sched_getaffinity
124sched_yield sched_yield
125sched_get_priority_max
126sched_get_priority_min
127sched_rr_get_间隔
128restart_系统调用
129 击杀
130tkill
131 tgkill
132 西加特栈
133rt_sig挂起
134rt_sigaction
135rt_sigproc掩码
136rt_signature 待处理
137rt_sigtimed等待
138rt_sigqueue信息
139rt_sigreturn
140组优先级
第141章获得优先权
142 重启
143设置regid
144 设置gid
145 塞特鲁德
146 设置
第147章
148 去吧
149设置resgid
150getresgid 150getresgid
第151章
152设置fsgid
153次
154设置pgid
155getpgid
156 获取希德
第157章
158 获取群组
159套组
160 鳗鱼
161 设置主机名
162设置域名
163 获得限制
164 设定限制
165 杰特拉浪涌
166 掩码
167%
168获取CPU
169 获取今天的时间
170 每天设定时间
第171章
第172章
第173章
第174章
第175章
176 获取Gid
第177章
178 被绑起来
179系统信息
180mq_开放
181mq_取消链接
182mq_定时发送
183mq_定时接收
184mq_通知
185mq_getsetattr
186 消息获取
187msgctl
188msgrcv 消息
189 消息
第190章
第191章
192 SEM 时间Dop
第193章
194 施穆格特
195shmctl
196 施马特
第197章
198插座
199 个插座对
200 绑定
第201章请听
第202章接受
203 个连接
204get 袜子名称
205获取对等名称
206 目的地
207 残骸
208套插座
209 获取索科普特
210 关机
发送211消息
第212章
第213章前瞻
214BRK
第215章
216m 重新映射
217 个附加键
218 请求密钥
219键ctl
220 克隆
221 执行
222毫米地图
第223章
224 交换
225 交换关闭
226m保护
227同步
228m锁
229 曼洛克
230m岩桨
231 蒙罗克全部
232分钟核心
第233章
234 重映射文件页面
235m绑定
第236章
237set_mempolicy
238 迁移页面
移至239页
240rt_tgsigqueue信息
241perf_event_open
第242章接受4
第243章
260 等待4
261 预限64
第262章
第263章
第264章
265 手柄打开
266 时钟调整时间
267 同步文件
268套
第269章发消息
270 进程_vm_readv
第271章
272kcmp
273finit_模块
第274章
第275章
第276章重命名2
277 秒比较
278 天竺葵
279memfd_创建
280bpf
281 执行
282 用户故障fd
第283章
284m锁2
285 复制文件范围
286preadv2
287pwritev2
288pkey_m保护
289pkey_分配
290pkey_free
291statx
292io_pget事件
293rseq
294kexec_文件_加载
424pidfd_发送_信号
425io_uring_设置
426io_uring_enter
427io_uring_注册
428 开树
第429章移动坐骑
430fs开
431fs配置
432fs挂载
433f选择
434pidfd_打开
第435章克隆3
1024 开放
1025 个链接
1026 取消链接
1027m点头
1028chmod
1029chown
1030mk目录
1031rm目录
第1032章
1033 次访问
1034 重命名
1035 阅读链接
1036 符号链接
1037次
1038stat64
1039lstat64
1040管
1041dup2
1042epoll_创建
第1043章
1044 事件FD
1045 信号FD
1049条新闻统计
1050新lstat
1059报警
第1060章
1061 暂停
1062次
1063utime
1064 已创建
第1066章
第1067章
1068 票
1069epoll_等待
第1070章
1071v叉子
1073 接收
1074 发送
1075bd冲洗
第1076章老坐骑
第1077章你图书馆
1078系统控制
1079 叉子
我们整理了数百道**【运维技术栈面试题】**,成为您运维面试的得力助手。这将帮助您在面试时不慌不忙,并为高质量的面试做好准备。付费报价!
这些面试题涵盖了从Shell、MySQL到K8等云原生技术栈,不仅适合运维行业新人的面试需求,也适合对运维感兴趣的朋友是适合的。升职或换工作以增加薪水。 **
本次访谈集内容为
* **174 运维工程师面试题**
* **128道k8s面试题**
* **108 个shell 脚本面试问题**
* **200 个Linux 面试问题**
* **51 个Docker 面试问题**
* **35 个Jenkis 面试问题**
* **78 MongoDB 面试问题**
* **17 Ansible 面试问题**
* **60 个Dubbo 面试问题**
* **53 次卡夫卡访谈**
* **18道mysql面试题**
* **40 个nginx 面试题**
* **77 个Redis 面试问题**
* **28 守门员**
**总共1000多道面试题,内容丰富、信息丰富**
* **174 运维工程师面试题**
1.什么是运维?
2、运维人员在工作场所经常需要与操作人员进行交互。运营人员做什么工作?
3. 给定300台服务器,如何管理它们?
4、我们简单解释一下raid0、raid1和raid5这两种运行模式的运行原理和特点。
5、LVS、Nginx、HAproxy有什么区别,工作中如何选择?
6. Squid、Varinsh、Nginx 有什么区别,你在工作中如何选择?
7.Tomcat和Resin有什么区别?
8.什么是中间件?
9. Tomcat 的三个端口8005、8009、8080 是什么意思?
10.什么是CDN?
11.什么是网站灰度发布?
12、请简单说明一下DNS域名解析的过程。
13.什么是RabbitMQ?
14.Keepalived如何工作?
15.描述LVS工作流程的三种模式。
16、mysql的innodb如何识别锁定问题以及mysql如何减少主从复制延迟?
?
2、运维人员在工作场所经常需要与操作人员进行交互。运营人员做什么工作?
3. 给定300台服务器,如何管理它们?
4、我们简单解释一下raid0、raid1和raid5这两种运行模式的运行原理和特点。
5、LVS、Nginx、HAproxy有什么区别,工作中如何选择?
6. Squid、Varinsh、Nginx 有什么区别,你在工作中如何选择?
7.Tomcat和Resin有什么区别?
8.什么是中间件?
9. Tomcat 的三个端口8005、8009、8080 是什么意思?
10.什么是CDN?
11.什么是网站灰度发布?
12、请简单说明一下DNS域名解析的过程。
13.什么是RabbitMQ?
14.Keepalived如何工作?
15.描述LVS工作流程的三种模式。
16、mysql的innodb如何识别锁定问题以及mysql如何减少主从复制延迟?
17.如何重置mysql root密码?
#【操作系统】以上有关安全审计的相关内容摘自网络,仅供参考。相关信息请参见官方公告。
原创文章,作者:CSDN,如若转载,请注明出处:https://www.sudun.com/ask/91195.html
