从 CoreOs 766 开始,审计子系统部分集成:
内核中已启用审计子系统,并将 auditctl 添加到映像中。大多数审计事件默认被忽略。审计规则可以在/etc/audit/rules.d 中修改。请注意,auditd 不包括在内,而 journald 负责记录事件,尽管它是一种尽力而为的机制。与基于auditd 的系统不同,如果journald 由于某种原因未能记录事件,内核不会恐慌。
为了审计 899 和 alpha 1000 CoreOs 版本上的系统调用,我尝试了以下方法。
# starting a new periodic process:
$ while true; do echo "coreos ..." > /tmp/a.txt && sleep 5s; done &
[1] 4509
# get its pid and add a new audit rule:
$ sudo auditctl -a always,exit -F arch=b64 -S read,write,close,dup2,wait4 -F pid=4509
# wait 5 minutes and check if any audit related event was logged into by …