Posso essere sicuro che il nome del campo di un record di audit Linux sia univoco?

3

Sto creando un parser / convertitore dal formato di audit di Linux. Mentre stavo studiando il formato, guardando esempi e leggendo la documentazione mi sono imbattuto in un problema.

Posso essere sicuro che i nomi dei campi all'interno di un singolo record sono univoci ?

Ad esempio, un record come questo è legale / appare nelle implementazioni del mondo reale:

type=TYPE msg=audit(1.002:3): msg="the first msg field" msg="the second msg field"

La seconda domanda correlata è se posso esserci ci sarà solo uno pidin un evento? Ad esempio, questo evento è legale / appare nelle implementazioni del mondo reale:

type=TYPE1 msg=audit(1.002:3): pid=0 msg="texthere"
type=TYPE2 msg=audit(1.002:3): pid=0 msg="differenttexthere"
linux  security  logs  audit  linux-audit 
Mateusz Piotrowski
fonte
Vedo che hai creato il tag linux-audit . Vuol dire essere sinonimo di auditd , giusto?
Gilles,
@Gilles, non ne sono sicuro. Vedo principalmente auditdil demone spazio utente. Linux Audit è un tag molto più ampio che potrebbe includere domande sullo standard stesso. Ultimamente sto lavorando molto con la documentazione del formato Linux Audit e mi manca un tag adeguato per le mie domande. auditsembra essere troppo generico e auditdnon è proprio il tag di cui ho bisogno. Questo è il motivo per cui ho deciso di creare il linux-audittag.
Mateusz Piotrowski,
auditd non è stato utilizzato specificamente il demone, era circa l'intero quadro ( auditd, auditctle altri strumenti correlati). C'è una differenza tra il framework di controllo Linux e lo standard di controllo Linux? Per favore chime sul meta thread .
Gilles,

Risposte:

0

Secondo la risposta di Steve Grubb sulla mailing list ufficiale ( link all'email ):

Risposta di Steve:

È possibile che ci siano campi duplicati in un record?

A volte. Ho provato a risolverli quando succede. Il problema è che non tutti eseguono il loro codice di controllo da questa lista di posta in modo che possiamo controllarlo per vedere che è ben formato. Quello che sto pianificando di fare è scrivere una suite di convalida degli eventi di verifica che verifica che gli eventi siano ben formati e che gli eventi previsti vengano scritti quando dovrebbero e nell'ordine in cui sono stati proposti. La pulizia di questi eventi è in cima alla mia lista TODO.

Qualcosa del genere (che ovviamente non ha molto senso):

    type=CWD msg=audit(1464013682.961:409):  cwd="/root” cwd=“/usr”

Qualcosa del genere non accadrà, è più probabile intorno a auid e uid. Il motivo è che il kernel aggiunge automaticamente qualcosa perché è una fonte attendibile di informazioni. Lo spazio utente può scrivere informazioni contraddittorie. Ad esempio se un demone sta lavorando per conto di un utente ma il suo auid non è stato impostato per l'utente, è possibile che venga visualizzato.

tl; dr

È possibile tuttavia è raro e scoraggiato.

Mateusz Piotrowski
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.