auditctlコマンドの使い方 - hana_shinのLinux技術ブログ

1 auditctlコマンドとは?
2 検証環境
3 オプション一覧
4 ルールについて
- 4.1 ルールの種類
- 4.4 ルールの設定方法
5 システムコールルールの使い方
6 ファイルシステムルールの使い方
Z 参考情報

1 auditctlコマンドとは?

Auditの動作に関する設定、およびAuditルールの定義を行うコマンドです。Auditとは、いつ、だれが、何をしたか？という記録を取り、不正なアクセスがなかったかを監査することです。監査した結果はログに記録されます。デフォルトは/var/log/audit/audit.logに出力されます。

Auditに関連するコマンドとして以下のものがあります。

コマンド名	概要
ausearch	監査ログを検索するためのコマンドです。詳細は、ausearchコマンドの使い方 - hana_shinのLinux技術ブログを参照してください。
aureport	audit.logファイルから監査のサマリを作成するコマンドです
auditctl	Auditデーモンの動作に関する設定、およびAuditルールを定義するコマンドです

2 検証環境

CentOS版数は以下のとおりです。

[root@server ~]# cat /etc/redhat-release
CentOS Linux release 7.9.2009 (Core)

カーネル版数は以下のとおりです。

[root@server ~]# uname -r
3.10.0-1160.el7.x86_64

auditctlコマンドの版数は以下のとおりです。

[root@server ~]# auditctl -v
auditctl version 2.8.5

3 オプション一覧

[root@server ~]#  auditctl -h
usage: auditctl [options]
    -a <l,a>            Append rule to end of <l>ist with <a>ction
    -A <l,a>            Add rule at beginning of <l>ist with <a>ction
    -b <backlog>        Set max number of outstanding audit buffers
                        allowed Default=64
    -c                  Continue through errors in rules
    -C f=f              Compare collected fields if available:
                        Field name, operator(=,!=), field name
    -d <l,a>            Delete rule from <l>ist with <a>ction
                        l=task,exit,user,exclude
                        a=never,always
    -D                  Delete all rules and watches
    -e [0..2]           Set enabled flag
    -f [0..2]           Set failure flag
                        0=silent 1=printk 2=panic
    -F f=v              Build rule: field name, operator(=,!=,<,>,<=,
                        >=,&,&=) value
    -h                  Help
    -i                  Ignore errors when reading rules from file
    -k <key>            Set filter key on audit rule
    -l                  List rules
    -m text             Send a user-space message
    -p [r|w|x|a]        Set permissions filter on watch
                        r=read, w=write, x=execute, a=attribute
    -q <mount,subtree>  make subtree part of mount point's dir watches
    -r <rate>           Set limit in messages/sec (0=none)
    -R <file>           read rules from file
    -s                  Report status
    -S syscall          Build rule: syscall name or number
    -t                  Trim directory watches
    -v                  Version
    -w <path>           Insert watch at <path>
    -W <path>           Remove watch at <path>
    --loginuid-immutable  Make loginuids unchangeable once set
    --reset-lost         Reset the lost record counter

4 ルールについて

4.1 ルールの種類

Auditルールには、以下の3つがあります。

ルール	概要
システムコールルール	システムコールに対して監査を行います
ファイルシステムルール	ファイル、ディレクトリへのアクセスに対して監査を行います
制御ルール	Auditに関するルールを設定します

4.4 ルールの設定方法

Auditのルールは、以下の方法で設定することができます。

方法	概要
auditctlコマンドでルールを設定	OSを再起動すると、ルールが消えます。テスト目的で使います
/etc/audit/rules.d配下にルールを作成	OSを再起動しても、ルールは消えません。auditctlコマンドで正しく動作することが確認できたら、こちらの方法を使ってルールを作成します

5 システムコールルールの使い方

5.1 オプション一覧

オプション	意味
-a <アクション>,<リスト>	追加するアクションとリストをカンマ区切りで指定します。アクションとリストで、特定のイベントが監査ログに記録されるタイミングを指定します
-d <アクション>,<リスト>	削除するアクションとリストを指定します
-k <キー>	ルールを識別するための任意の識別子を指定します
-F <フィールド=値>	フィールドには、arch,pid,uid等があります。またarchにはb32,b64を指定します。これらを指定することで、発生するイベントを絞り込むことができます
-S <システムコール名>	システムコール名またはシステムコール番号、またはallを指定します

アクション

アクション	意味
always	常に監査ログを生成します
never	監査ログを生成しません

リスト

リスト	意味
task	子プロセスの生成時、プロセスのコピー時に発生するイベント
exit	システムコール終了時に発生するイベント
user	ユーザ空間で発生するイベント
exclude	特定のイベントを監査から除外

コマンドの書式は以下になります。

# auditctl -a <アクション、リスト> -S <システムコール> -F <フィールド=値> -k <キー>

5.2 監査ログを出力する方法(always)

mkdirシステムコールを実行したら監査ログを出力する、というルールを作成します。

[root@server ~]# auditctl -a always,exit -F arch=b64 -S mkdir -k test1

作成したルールを確認します。

[root@server ~]# auditctl -l
-a always,exit -F arch=b64 -S mkdir -F key=test1

テスト用のディレクトリを作成します。

[root@server ~]# mkdir /test

ausearchコマンドを実行して監査ログを確認します。mkdirシステムコール(syscall=mkdir)を実行して、/testディレクトリの作成に成功(success=yes)していることがわかります。

なお、各typeの意味は次のとおりです。
・PROCTITLE：実行したコマンドラインイメージ
・PATH：監査対象のファイル、ディレクトリ
・CWD：コマンドを実行したディレクトリ
・ SYSCALL：実行したシステムコール、実行結果、実行したユーザのuid,gid等

[root@server ~]# mkdir /test
[root@server ~]# ausearch -i -k test1
----
type=CONFIG_CHANGE msg=audit(2022年05月28日 20:07:42.033:121) : auid=root ses=1 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 op=add_rule key=test1 list=exit res=yes
----
type=PROCTITLE msg=audit(2022年05月28日 20:07:54.453:122) : proctitle=mkdir /test
type=PATH msg=audit(2022年05月28日 20:07:54.453:122) : item=1 name=/test inode=8447635 dev=fd:03 mode=dir,755 ouid=root ogid=root rdev=00:00 obj=unconfined_u:object_r:default_t:s0 objtype=CREATE cap_fp=none cap_fi=none cap_fe=0 cap_fver=0
type=PATH msg=audit(2022年05月28日 20:07:54.453:122) : item=0 name=/ inode=64 dev=fd:03 mode=dir,555 ouid=root ogid=root rdev=00:00 obj=system_u:object_r:root_t:s0 objtype=PARENT cap_fp=none cap_fi=none cap_fe=0 cap_fver=0
type=CWD msg=audit(2022年05月28日 20:07:54.453:122) :  cwd=/root
type=SYSCALL msg=audit(2022年05月28日 20:07:54.453:122) : arch=x86_64 syscall=mkdir success=yes exit=0 a0=0x7ffc765bb83f a1=0777 a2=0x1ff a3=0x7ffc765b9d20 items=2 ppid=1086 pid=1111 auid=root uid=root gid=root euid=root suid=root fsuid=root egid=root sgid=root fsgid=root tty=pts0 ses=1 comm=mkdir exe=/usr/bin/mkdir subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key=test1

テスト用に作成したルールを削除します。

[root@server ~]# auditctl -D

5.3 監査ログを出力しない方法(never)

mkdirシステムコールを実行したら監査ログを出力しない、というルールを作成します。

[root@server ~]# auditctl -a never,exit -F arch=b64 -S mkdir -k test2

作成したルールを確認します。

[root@server ~]# auditctl -l
-a never,exit -F arch=b64 -S mkdir -F key=test2

テスト用のディレクトリを作成します。

[root@server ~]# mkdir /test

ausearchコマンドを実行して監査ログを確認します。mkdirシステムコールの監査ログは出力されないことがわかります。ルールを変更した旨の監査ログだけが出力されています。

[root@server ~]# ausearch -k test2
----
time->Sat May 28 19:08:01 2022
type=CONFIG_CHANGE msg=audit(1653732481.674:192): auid=0 ses=4 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 op=add_rule key="test2" list=4 res=1

テスト用のディレクトリを削除します。

[root@server ~]# rmdir /test

テスト用に作成したルールを削除します。

[root@server ~]# auditctl -D

5.4 uidの使い方

テスト用のディレクトリを作成します。

[root@server ~]# mkdir /test

テスト用のユーザを作成します。

[root@server ~]# useradd user1

テスト用に作成したユーザのuidを確認します。user1ユーザのuidは、1000であることがわかります。

[root@server ~]# id user1
uid=1000(user1) gid=1000(user1) groups=1000(user1)

uidが1000のユーザがopenシステムコールを実行したら監査ログを出力する、というルールを作成します。

[root@server ~]# auditctl -a always,exit -F uid=1000 -F arch=b64 -S open -k test3

作成したルールを確認します。

[root@server ~]# auditctl -l
-a always,exit -F arch=b64 -S open -F uid=1000 -F key=test3

rootで/tmpディレクトレイに対してlsコマンドを実行します。

[root@server ~]# ls /test

rootユーザの場合、監査ログが出力されないことがわかります（期待値）。

[root@server ~]# ausearch -i -k test3
----
type=CONFIG_CHANGE msg=audit(2022年05月28日 19:13:43.463:140) : auid=root ses=2 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 op=add_rule key=test3 list=exit res=yes

ユーザをuser1に切り替えます。

[root@server ~]# su - user1
[user1@server ~]$

user1で/testディレクトレイに対してlsコマンドを実行します。

[user1@server ~]$ ls /test

ausearchコマンドを実行して監査ログを確認します。user1ユーザの場合、監査ログが出力されることがわかります（期待値）。

[root@server ~]# ausearch -i -k test3
-snip-
----
type=PROCTITLE msg=audit(2022年05月28日 20:45:24.973:283) : proctitle=ls --color=auto /test 
type=PATH msg=audit(2022年05月28日 20:45:24.973:283) : item=0 name=/etc/ld.so.cache inode=4961070 dev=fd:03 mode=file,644 ouid=root ogid=root rdev=00:00 obj=unconfined_u:object_r:ld_so_cache_t:s0 objtype=NORMAL cap_fp=none cap_fi=none cap_fe=0 cap_fver=0 
type=CWD msg=audit(2022年05月28日 20:45:24.973:283) :  cwd=/home/user1 
type=SYSCALL msg=audit(2022年05月28日 20:45:24.973:283) : arch=x86_64 syscall=open success=yes exit=3 a0=0x7f67bac5b5a4 a1=O_RDONLY|O_CLOEXEC a2=0x1 a3=0x7f67bae614f8 items=1 ppid=1215 pid=1240 auid=root uid=user1 gid=user1 euid=user1 suid=user1 fsuid=user1 egid=user1 sgid=user1 fsgid=user1 tty=pts1 ses=2 comm=ls exe=/usr/bin/ls subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key=test3 
----
type=PROCTITLE msg=audit(2022年05月28日 20:45:24.973:284) : proctitle=ls --color=auto /test 
type=PATH msg=audit(2022年05月28日 20:45:24.973:284) : item=0 name=/lib64/libselinux.so.1 inode=35076 dev=fd:03 mode=file,755 ouid=root ogid=root rdev=00:00 obj=system_u:object_r:lib_t:s0 objtype=NORMAL cap_fp=none cap_fi=none cap_fe=0 cap_fver=0 
type=CWD msg=audit(2022年05月28日 20:45:24.973:284) :  cwd=/home/user1 
type=SYSCALL msg=audit(2022年05月28日 20:45:24.973:284) : arch=x86_64 syscall=open success=yes exit=3 a0=0x7f67bae5e640 a1=O_RDONLY|O_CLOEXEC a2=0x7f67bae61150 a3=0x7f67bae5e640 items=1 ppid=1215 pid=1240 auid=root uid=user1 gid=user1 euid=user1 suid=user1 fsuid=user1 egid=user1 sgid=user1 fsgid=user1 tty=pts1 ses=2 comm=ls exe=/usr/bin/ls subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key=test3 
----
type=PROCTITLE msg=audit(2022年05月28日 20:45:24.974:285) : proctitle=ls --color=auto /test 
type=PATH msg=audit(2022年05月28日 20:45:24.974:285) : item=0 name=/lib64/libcap.so.2 inode=35212 dev=fd:03 mode=file,755 ouid=root ogid=root rdev=00:00 obj=system_u:object_r:lib_t:s0 objtype=NORMAL cap_fp=none cap_fi=none cap_fe=0 cap_fver=0 
type=CWD msg=audit(2022年05月28日 20:45:24.974:285) :  cwd=/home/user1 
type=SYSCALL msg=audit(2022年05月28日 20:45:24.974:285) : arch=x86_64 syscall=open success=yes exit=3 a0=0x7f67bae5eb08 a1=O_RDONLY|O_CLOEXEC a2=0x7f67bae61150 a3=0x7f67bae5eb08 items=1 ppid=1215 pid=1240 auid=root uid=user1 gid=user1 euid=user1 suid=user1 fsuid=user1 egid=user1 sgid=user1 fsgid=user1 tty=pts1 ses=2 comm=ls exe=/usr/bin/ls subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key=test3 
----
type=PROCTITLE msg=audit(2022年05月28日 20:45:24.974:286) : proctitle=ls --color=auto /test 
type=PATH msg=audit(2022年05月28日 20:45:24.974:286) : item=0 name=/lib64/libacl.so.1 inode=35209 dev=fd:03 mode=file,755 ouid=root ogid=root rdev=00:00 obj=system_u:object_r:lib_t:s0 objtype=NORMAL cap_fp=none cap_fi=none cap_fe=0 cap_fver=0 
type=CWD msg=audit(2022年05月28日 20:45:24.974:286) :  cwd=/home/user1 
type=SYSCALL msg=audit(2022年05月28日 20:45:24.974:286) : arch=x86_64 syscall=open success=yes exit=3 a0=0x7f67bae5efd0 a1=O_RDONLY|O_CLOEXEC a2=0x7f67bae61150 a3=0x7f67bae5efd0 items=1 ppid=1215 pid=1240 auid=root uid=user1 gid=user1 euid=user1 suid=user1 fsuid=user1 egid=user1 sgid=user1 fsgid=user1 tty=pts1 ses=2 comm=ls exe=/usr/bin/ls subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key=test3 
----
type=PROCTITLE msg=audit(2022年05月28日 20:45:24.974:287) : proctitle=ls --color=auto /test 
type=PATH msg=audit(2022年05月28日 20:45:24.974:287) : item=0 name=/lib64/libc.so.6 inode=34967 dev=fd:03 mode=file,755 ouid=root ogid=root rdev=00:00 obj=system_u:object_r:lib_t:s0 objtype=NORMAL cap_fp=none cap_fi=none cap_fe=0 cap_fver=0 
type=CWD msg=audit(2022年05月28日 20:45:24.974:287) :  cwd=/home/user1 
type=SYSCALL msg=audit(2022年05月28日 20:45:24.974:287) : arch=x86_64 syscall=open success=yes exit=3 a0=0x7f67bae564b0 a1=O_RDONLY|O_CLOEXEC a2=0x7f67bae61150 a3=0x7f67bae564b0 items=1 ppid=1215 pid=1240 auid=root uid=user1 gid=user1 euid=user1 suid=user1 fsuid=user1 egid=user1 sgid=user1 fsgid=user1 tty=pts1 ses=2 comm=ls exe=/usr/bin/ls subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key=test3 
----
type=PROCTITLE msg=audit(2022年05月28日 20:45:24.976:288) : proctitle=ls --color=auto /test 
type=PATH msg=audit(2022年05月28日 20:45:24.976:288) : item=0 name=/lib64/libpcre.so.1 inode=35060 dev=fd:03 mode=file,755 ouid=root ogid=root rdev=00:00 obj=system_u:object_r:lib_t:s0 objtype=NORMAL cap_fp=none cap_fi=none cap_fe=0 cap_fver=0 
type=CWD msg=audit(2022年05月28日 20:45:24.976:288) :  cwd=/home/user1 
type=SYSCALL msg=audit(2022年05月28日 20:45:24.976:288) : arch=x86_64 syscall=open success=yes exit=3 a0=0x7f67bae56978 a1=O_RDONLY|O_CLOEXEC a2=0x7f67bae5e658 a3=0x7f67bae56978 items=1 ppid=1215 pid=1240 auid=root uid=user1 gid=user1 euid=user1 suid=user1 fsuid=user1 egid=user1 sgid=user1 fsgid=user1 tty=pts1 ses=2 comm=ls exe=/usr/bin/ls subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key=test3 
----
type=PROCTITLE msg=audit(2022年05月28日 20:45:24.976:289) : proctitle=ls --color=auto /test 
type=PATH msg=audit(2022年05月28日 20:45:24.976:289) : item=0 name=/lib64/libdl.so.2 inode=34973 dev=fd:03 mode=file,755 ouid=root ogid=root rdev=00:00 obj=system_u:object_r:lib_t:s0 objtype=NORMAL cap_fp=none cap_fi=none cap_fe=0 cap_fver=0 
type=CWD msg=audit(2022年05月28日 20:45:24.976:289) :  cwd=/home/user1 
type=SYSCALL msg=audit(2022年05月28日 20:45:24.976:289) : arch=x86_64 syscall=open success=yes exit=3 a0=0x7f67bae56e40 a1=O_RDONLY|O_CLOEXEC a2=0x7f67bae5e658 a3=0x7f67bae56e40 items=1 ppid=1215 pid=1240 auid=root uid=user1 gid=user1 euid=user1 suid=user1 fsuid=user1 egid=user1 sgid=user1 fsgid=user1 tty=pts1 ses=2 comm=ls exe=/usr/bin/ls subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key=test3 
----
type=PROCTITLE msg=audit(2022年05月28日 20:45:24.976:290) : proctitle=ls --color=auto /test 
type=PATH msg=audit(2022年05月28日 20:45:24.976:290) : item=0 name=/lib64/libattr.so.1 inode=35207 dev=fd:03 mode=file,755 ouid=root ogid=root rdev=00:00 obj=system_u:object_r:lib_t:s0 objtype=NORMAL cap_fp=none cap_fi=none cap_fe=0 cap_fver=0 
type=CWD msg=audit(2022年05月28日 20:45:24.976:290) :  cwd=/home/user1 
type=SYSCALL msg=audit(2022年05月28日 20:45:24.976:290) : arch=x86_64 syscall=open success=yes exit=3 a0=0x7f67bae55508 a1=O_RDONLY|O_CLOEXEC a2=0x7f67bae5eb20 a3=0x7f67bae55508 items=1 ppid=1215 pid=1240 auid=root uid=user1 gid=user1 euid=user1 suid=user1 fsuid=user1 egid=user1 sgid=user1 fsgid=user1 tty=pts1 ses=2 comm=ls exe=/usr/bin/ls subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key=test3 
----
type=PROCTITLE msg=audit(2022年05月28日 20:45:24.976:291) : proctitle=ls --color=auto /test 
type=PATH msg=audit(2022年05月28日 20:45:24.976:291) : item=0 name=/lib64/libpthread.so.0 inode=34993 dev=fd:03 mode=file,755 ouid=root ogid=root rdev=00:00 obj=system_u:object_r:lib_t:s0 objtype=NORMAL cap_fp=none cap_fi=none cap_fe=0 cap_fver=0 
type=CWD msg=audit(2022年05月28日 20:45:24.976:291) :  cwd=/home/user1 
type=SYSCALL msg=audit(2022年05月28日 20:45:24.976:291) : arch=x86_64 syscall=open success=yes exit=3 a0=0x7f67bae55a68 a1=O_RDONLY|O_CLOEXEC a2=0x7f67bae56990 a3=0x7f67bae55a68 items=1 ppid=1215 pid=1240 auid=root uid=user1 gid=user1 euid=user1 suid=user1 fsuid=user1 egid=user1 sgid=user1 fsgid=user1 tty=pts1 ses=2 comm=ls exe=/usr/bin/ls subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key=test3 
----
-snip-

テスト用に作成したルールを削除します。

[root@server ~]# auditctl -D

6 ファイルシステムルールの使い方

6.1 オプション一覧

オプション	意味
-w <ファイル名>	監査対象とするファイルやディレクトリを指定します
-k <キー>	ルールを識別するための任意の識別子を指定します
-p <パーミッション>	パーミッションを指定します。-r：読み取り、w：書き込み、x：実行、a：属性変更

コマンドの書式は以下になります。

# auditctl -w <ファイル／ディレクトリ> -p <パーミッション> -k <キー>

6.2 ファイルに対する監査

ファイルをリードしたら、監査結果をログに出力してみます。

テスト用のディレクトリを作成します。

[root@server ~]# mkdir /test

テスト用のファイルを作成します。

[root@server ~]# touch /test/aa.txt

テスト用ファイルをリードしたら監査ログを出力するルールを作成します。

[root@server ~]# auditctl -w /test/aa.txt -p r -k test4

作成したルールを確認します。

[root@server ~]# auditctl -l
-w /test/aa.txt -p r -k test4

テスト用ファイルを読み込んでみます。

[root@server ~]# cat /test/aa.txt
1

ausearchコマンドを実行して監査ログを確認します。openシステムコールで/test/aa.txtをオープンしていることがわかります。そして、openシステムコールの実行は成功(success=yes)しており、戻り値(exit)としてファイルディスクリプタ3を返していることがわかります。なお、ausearchコマンドの使い方は、ausearchコマンドの使い方 - hana_shinのLinux技術ブログを参照してください。

[root@server ~]# ausearch -i -k test4
----
type=CONFIG_CHANGE msg=audit(2022年05月28日 19:34:28.689:273) : auid=root ses=2 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 op=add_rule key=test4 list=exit res=yes
----
type=PROCTITLE msg=audit(2022年05月28日 19:35:01.662:274) : proctitle=cat /test/aa.txt
type=PATH msg=audit(2022年05月28日 19:35:01.662:274) : item=0 name=/test/aa.txt inode=8447636 dev=fd:03 mode=file,644 ouid=root ogid=root rdev=00:00 obj=unconfined_u:object_r:default_t:s0 objtype=NORMAL cap_fp=none cap_fi=none cap_fe=0 cap_fver=0
type=CWD msg=audit(2022年05月28日 19:35:01.662:274) :  cwd=/root
type=SYSCALL msg=audit(2022年05月28日 19:35:01.662:274) : arch=x86_64 syscall=open success=yes exit=3 a0=0x7ffe34a2383c a1=O_RDONLY a2=0x1fffffffffff0000 a3=0x7ffe34a21820 items=1 ppid=1110 pid=1172 auid=root uid=root gid=root euid=root suid=root fsuid=root egid=root sgid=root fsgid=root tty=pts1 ses=2 comm=cat exe=/usr/bin/cat subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key=test4

テスト用ファイルを削除します。

[root@server ~]# rm /test/aa.txt

テスト用に作成したルールを削除します。

[root@server ~]# auditctl -D

6.3 ディレクトリに対する監査

テスト用ディレクトリ(/test)をリードしたら監査ログを出力するルールを作成します。

[root@server ~]# auditctl -w /test -p r -k test5

作成したルールを確認します。

[root@server ~]# auditctl -l
-w /test -p r -k test5

/testディレクトリをリードしてみます。

[root@server ~]# ls /test

ausearchコマンドを実行して監査ログを確認します。openatシステムコールを使って、/testディレクトリをオープンしていることがわかります。そして、openatシステムコールの実行は成功(success=yes)しており、戻り値(exit)としてファイルディスクリプタ3を返していることがわかります。

[root@server ~]# ausearch -i -k test5
----
type=CONFIG_CHANGE msg=audit(2022年05月28日 19:42:36.951:140) : auid=root ses=1 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 op=add_rule key=test5 list=exit res=yes
----
type=PROCTITLE msg=audit(2022年05月28日 19:42:46.477:141) : proctitle=ls --color=auto /test
type=PATH msg=audit(2022年05月28日 19:42:46.477:141) : item=0 name=/test inode=8447635 dev=fd:03 mode=dir,755 ouid=root ogid=root rdev=00:00 obj=unconfined_u:object_r:default_t:s0 objtype=NORMAL cap_fp=none cap_fi=none cap_fe=0 cap_fver=0
type=CWD msg=audit(2022年05月28日 19:42:46.477:141) :  cwd=/root
type=SYSCALL msg=audit(2022年05月28日 19:42:46.477:141) : arch=x86_64 syscall=openat success=yes exit=3 a0=0xffffffffffffff9c a1=0x19bd5e0 a2=O_RDONLY|O_NONBLOCK|O_DIRECTORY|O_CLOEXEC a3=0x0 items=1 ppid=1082 pid=1130 auid=root uid=root gid=root euid=root suid=root fsuid=root egid=root sgid=root fsgid=root tty=pts0 ses=1 comm=ls exe=/usr/bin/ls subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key=test5

テスト用に作成したルールを削除します。

[root@server ~]# auditctl -D

Z 参考情報

私が業務や記事執筆で参考にした書籍を以下のページに記載します。
Linux技術のスキルアップをしよう！ - hana_shinのLinux技術ブログ