Linux audit ログの調べ物

DRANK

Linux の audit ログを 内部の実装も調べもせず 何となくな知識まま扱っていたので、いっちょ整頓してみようと調べ物をしていた。カーネルのソースを読んだり、libaudit のソースを読んだり。 kernel.org github.com audit ログはカーネル内部で生成されるもの ( 例えばシステムコールの監査 ) と、ユーザ空間から書き込むものとあるが ( 例えば pam モジュール )、後者は libaudit を使ってログを出せる。 Proof of Concept libaudit での audit ログ書き出しは割と簡単なコードで扱える。試しに小さいコードを書いた。 #…