Назад | Перейти на главную страницу

разница между успехом и неудачей в auditd / aureport

В aureport У команды есть две опции, которые ограничивают список отображаемых событий успешными и неудачными. На странице руководства:

   --failed
          Only select failed events for processing in the reports. The default is both success and failed events.
   --success
          Only select successful events for processing in the reports. The default is both success and failed events.

Что это значит? Относится ли сбой / успех к фактическому событию (например, системному вызову, который вернул ненулевое значение), или сбой / успех относится к auditd, и возникла ли проблема при обработке события?

В соответствии с https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Security_Guide/app-Audit_Reference.html#sec-Audit_Events_Fields:

success Записывает, был ли системный вызов успешным или неудачным.

В том же руководстве содержится краткое описание события auditd. https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Security_Guide/sec-Understanding_Audit_Log_Files.html.

success = no В поле успеха записывается, был ли системный вызов, записанный в этом конкретном событии, успешным или неудачным. В этом случае вызов не удался.

Однако другие события также могут считаться отказами, например, события, в которых res поле failed (например, USER_LOGIN или CRYPTO_KEY_USER)

res Записывает результат операции, вызвавшей событие Audit.

Вы также можете получить представление о том, что это за события, запустив:

sudo aureport -i --failed -e

Это даст вам представление о типах вызовов / событий, которые охватываются, и это (по крайней мере, в моей системе) не просто SYSCALL, а другие события (например, ранее упомянутый USER_LOGIN).