如何判断 auditd 是否已暂停日志记录？

Question

Rickkwa

Asked: 2017-08-31 13:23:20 +0800 CST2017-08-31 13:23:20 +0800 CST 2017-08-31 13:23:20 +0800 CST

当我使用绝对路径时，为什么 auditd 只记录 `echo`？

在 Centos 7 上运行 auditd 版本 2.6.5。

我的规则文件包含：

-a exit,always -F arch=b64 -F auid=0 -S execve -k root_action
-a exit,always -F arch=b32 -F auid=0 -S execve -k root_action

当我跑步时which echo，我得到了/usr/bin/echo。

当我运行时echo "asd"，什么都没有登录/var/log/audit/audit.log。但是，当我运行时，/usr/bin/echo "asd"我看到一个事件被记录下来。为什么不使用绝对路径就不行？

lsd · Answer 1 · 2017-08-31T13:52:16+08:00

Best Answer

lsd

echo 是一个内置的 shell。/bin/echo 是一个二进制文件。

键入type echo并which echo查看差异。

当你给它完整的路径时，你是在告诉它使用二进制而不是 shell 内置。