私はシステムのシャットダウンを監視するためにauditdを使用しています。通常、次の行が表示されます。 Bashシェルの例として、pid 16207のsleepコマンドでkill -9を実行しました。私が知る限り、SYSCALLのa0 = 3f4fは終了するpidの16進表現であるopid = 16207 OBJ_PIDです。
type=SYSCALL msg=audit(1484657892.027:5580849): arch=c000003e syscall=62 success=yes exit=0 a0=3f4f a1=9 a2=0 a3=7ffe782998e0 items=0 ppid=16209 pid=16212 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts2 ses=2282 comm="bash" exe="/usr/bin/bash" subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key="log_kill"
type=OBJ_PID msg=audit(1484657892.027:5580849): opid=16207 oauid=0 ouid=0 oses=2275 obj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 ocomm="sleep"
これはみんな良くて録音内容を理解していると思います。多くのプロセスを実行するリアルタイムシステムでは、プロセスが終了することがあります。終了シグナルの監査ログを確認すると、次の結果が表示されます。
type=SYSCALL msg=audit(1484742595.249:7657673): arch=c000003e syscall=62 success=yes exit=0 a0=9640 a1=f a2=0 a3=7ffec4d845f0 items=0 ppid=1 pid=38430 auid=1158 uid=1158 gid=1173 euid=1158 suid=1158 fsuid=1158 egid=1173 sgid=1173 fsgid=1173 tty=(none) ses=1730 comm="startkde" exe="/usr/bin/bash" subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key="log_kill"
type=OBJ_PID msg=audit(1484742595.249:7657673): opid=38373 oauid=1158 ouid=1158 oses=1730 obj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 ocomm="java"
ここで、a0 = 9640はopid = 38373ではなく10進数のpid 38464を提供します。なぜこれが起こるのかを説明できる人はいますか?
あるいは、言い換えれば、OBJ_PID 38373がPID 0x9640(38464)のプロセスに送信されたSYSCALL Killを受信する必要があるのはなぜですか?