Audit Subsystem trace心得 - Linux

What is Audit Subsystem?
Audit subsystem是Linux kernel 2.6新增的功能，此子系統能記錄下將各行程的
系統呼叫參數，檔案的操作等，以供事後稽核，SELinux subsystem也依賴Audit
subsystem提供AVC。下圖為執行Audit subsystem所記錄下的數個系統呼叫。

What is Not Audit Subsystem?
Audit Subsystem並不是一個像Netfilter的hook機制，我們並不能利用這個Audit
subsystem來對各系統呼叫做一些「hook」的動作(想要去改變系統呼叫的參數)
我們僅能觀察Audit Subsystem所產生的記錄。

Audit Subsystem Trace
我trace的版本是 2.6.17.8，不同的版本可能會有很大的差別。底下的描述也以系統呼
叫稽核(syscall audit)為主，不討論檔案操作稽核，也不討論audit tool/audit lib。
...

全文如下
http://gen2linux.blogspot.com/2006_08_01_gen2linux_archive.html

--

Red Shirt located. Do you have in sight?

Red Shirt confirmed.

--