次のように、コマンドに auditd ルールを適用しましたjcmd。
auditctl -w /usr/bin/jcmd -p x -k jvm_debug
ただし、実行するとログは記録されません。
このトピックに関するガイドと以前の質問を確認してください。同じ形式を使用しますが、コマンドをwho例として使用します。
だから私はこれを試しました。
auditctl -w /usr/bin/who -p x -k who
このwhoコマンドの場合、auditdは実行時にログに書き込みます。
追加のデバッグには、これらのコマンドを実行し、システムコールに従うstraceように指示します。開くと、主にライブラリへの呼び出しが表示されますが、実行可能ファイルは表示されません。しかし、両方のコマンドのstrace出力は、私が実行しているファイルへのシステムコールで始まります。openexecveexecve
execveauditdがこのコマンドのシステムコールを「欠落」しましたが、このコマンドのシステムコールは「欠落」しjcmdないのはなぜですか?who