7.5.2. 실행 가능한 파일 규칙 정의

실행 가능한 파일 규칙을 정의하려면 다음 구문을 사용합니다.

auditctl  -a action,filter [ -F arch=cpu -S system_call] -F exe=path_to_executable_file -k key_name

다음과 같습니다.

action 및 filter 는 특정 이벤트가 기록될 때를 지정합니다. 작업을 항상 또는 사용하지 않을 수 있습니다.filter 는 이벤트에 적용되는 커널 규칙 일치 필터를 지정합니다. rule-matching 필터는 작업,exit,user, exclude 중 하나일 수 있습니다. 이러한 필터에 대한 자세한 내용은 7.1절. “감사 시스템 아키텍처” 시작을 참조하십시오.
system_call 은 시스템 호출을 해당 이름으로 지정합니다. 모든 시스템 호출 목록은 /usr/include/asm/unistd_64.h 파일에서 확인할 수 있습니다. 여러 시스템 호출을 자체 -S 옵션 다음에 지정된 하나의 규칙으로 그룹화할 수 있습니다.
path_to_executable_file 은 감사된 실행 파일의 절대 경로입니다.
key_name 은 특정 로그 항목을 생성한 규칙 또는 규칙 집합을 식별하는 데 도움이 되는 선택적 문자열입니다.

예 7.3. 실행 파일 규칙

/bin/id 프로그램의 모든 실행을 로깅하는 규칙을 정의하려면 다음 명령을 실행합니다.

~]# auditctl -a always,exit -F exe=/bin/id -F arch=b64 -S execve -k execution_bin_id