Назад | Перейти на главную страницу

проблема настройки правил аудита: имя системного вызова неизвестно: stime

Я устанавливаю правила аудита в /etc/audit/audit.rules.

В качестве требования: система аудита должна быть настроена для аудита всех административных, привилегированных и защитных действий.

Поэтому я добавляю одну строчку в /etc/audit/auditd.rules:

-a exit,always -S stime -S acct -S reboot -S swapon

Однако после перезапуска audit.d путем перезапуска службы auditd:

There is error comeout:
Stopping auditd:                                           [  OK  ]
Starting auditd:                                           [  OK  ]
Syscall name unknown: stime
There was an error in line 14 of /etc/audit/audit.rules

Кажется, что стыд невозможно распознать. Может ли кто-нибудь помочь мне выяснить, что не так с моим добавленным правилом? Большое спасибо!

Случайно у вас 64 битная? Возможно, вам потребуется определить архитектуру.

Итак -a выход, всегда -F arch = b32 -S stime

Дай мне знать.

Разве ты не должен добавить это к /etc/audit/audit.rules вместо?