監査ルールの設定の問題：システムコール名が不明：stime

Question

/etc/audit/audit.rulesで監査ルールを設定しています。

要件として：監査システムは、すべての管理、特権、およびセキュリティアクションを監査するように構成する必要があります。

そこで、/ etc/audit /auditd.rulesに1行追加します。

-a exit,always -S stime -S acct -S reboot -S swapon

ただし、service auditdrestartでaudit.dを再起動した後：

There is error comeout: Stopping auditd: [ OK ] Starting auditd: [ OK ] Syscall name unknown: stime There was an error in line 14 of /etc/audit/audit.rules

時間が認識できないようです。追加したルールの何が問題になっているのかを誰かが見つけてくれるでしょうか。どうもありがとう！

Cary Golomb · Answer

たまたま64ビットを実行していますか？アーキテクチャの認定が必要になる場合があります。

したがって、-a exit、常に-F Arch = b32 -S stime

お知らせ下さい。

Janne Pikkarainen · Answer

代わりにこれを/etc/audit/audit.rulesに追加するべきではありませんか？