Scroll to navigation

AUDIT_ADD_RULE_DATA(3) API-ul de audit Linux AUDIT_ADD_RULE_DATA(3)

NUME

audit_add_rule_data - adaugă regulă de audit nouă

SINOPSIS

#include <libaudit.h>
int audit_add_rule_data(int fd, struct audit_rule_data *rule, int flags, int action);"

DESCRIERE

audit_add_rule_data adaugă o regulă de audit construită anterior cu audit_rule_fieldpair_data(3) la unul dintre mai multele filtre de evenimente ale nucleului. Filtrul este specificat de descriptorul de fișier fd și argumentul flags. Valorile posibile pentru flags sunt:

AUDIT_FILTER_USER - Aplică regula mesajelor generate în spațiul utilizatorului. Acesta este filtrul utilizatorului. În mod normal, toate evenimentele provenite din spațiul utilizatorului sunt acceptate. Regulile acestui filtru sunt scrise de obicei pentru a bloca evenimente specifice.
Aplicați regula la crearea sarcinii (nu la apelul de sistem). Acesta este filtrul sarcinii. În mod normal, este utilizat pentru a exclude o aplicație din procesul de auditare.
AUDIT_FILTER_EXIT - Aplică regula la ieșirea din apelul de sistem. Acesta este filtrul principal utilizat pentru apelurile de sistem și monitorizarea sistemului de fișiere. În mod normal, nu toate apelurile de sistem declanșează evenimente, astfel încât acesta este utilizat în mod obișnuit pentru a specifica evenimentele care prezintă interes.
Aplică regula la audit_log_start. Acesta este filtrul de excludere care elimină toate înregistrările care coincid. Tipul de acțiune este ignorat pentru acest filtru, valoarea implicită fiind „never” (niciodată).
AUDIT_FILTER_FS - Aplică regula atunci când se adaugă înregistrări auxiliare PATH la evenimentele SYSCALL. Acesta este filtrul sistemului de fișiere. Se utilizează pentru a ignora înregistrările PATH care nu prezintă interes.

Acțiunea regulii are două valori posibile:

AUDIT_NEVER - Nu se construiește contextul dacă regula se potrivește.
AUDIT_ALWAYS - Generează înregistrarea de audit dacă regula se potrivește.

VALOAREA RETURNATĂ

Valoarea returnată este <= 0 în caz de eroare, altfel este numărul de identificare al secvenței netlink. Această funcție poate avea orice eroare pe care o poate întâlni sendto.

CONSULTAȚI ȘI

audit_rule_fieldpair_data(3), audit_delete_rule_data(3), auditctl(8).

AUTOR

Steve Grubb.

TRADUCERE

Traducerea în limba română a acestui manual a fost făcută de Remus-Gabriel Chelu <remusgabriel.chelu@disroot.org>

Această traducere este documentație gratuită; citiți Licența publică generală GNU Versiunea 3 sau o versiune ulterioară cu privire la condiții privind drepturile de autor. NU se asumă NICIO RESPONSABILITATE.

Dacă găsiți erori în traducerea acestui manual, vă rugăm să trimiteți un e-mail la translation-team-ro@lists.sourceforge.net.

august 2009 Red Hat