ログ内の LOAD、UNLO​​AD 行の意味: /var/log/auth.log

ログ内の LOAD、UNLO​​AD 行の意味: /var/log/auth.log

私のログファイルには次の行がたくさんあります:/var/log/auth.log:

      Mar  4 09:34:39 hostname audit: AUDIT1334 prog-id=18 op=UNLOAD
      Mar  4 09:34:39 hostname audit: AUDIT1334 prog-id=17 op=UNLOAD
      Mar  4 09:34:39 hostname audit: AUDIT1334 prog-id=16 op=UNLOAD
      Mar  4 09:34:39 hostname audit: AUDIT1334 prog-id=15 op=UNLOAD
      Mar  4 09:34:39 hostname audit: AUDIT1334 prog-id=12 op=UNLOAD
      Mar  4 09:34:39 hostname audit: AUDIT1334 prog-id=11 op=UNLOAD
      Mar  4 09:34:39 hostname audit: AUDIT1334 prog-id=19 op=LOAD
      Mar  4 09:34:39 hostname audit: AUDIT1334 prog-id=20 op=LOAD
      Mar  4 09:34:39 hostname audit: AUDIT1334 prog-id=21 op=LOAD
      Mar  4 09:34:39 hostname audit: AUDIT1334 prog-id=22 op=LOAD
      Mar  4 09:34:39 hostname audit: AUDIT1334 prog-id=23 op=LOAD
      Mar  4 09:34:39 hostname audit: AUDIT1334 prog-id=24 op=LOAD
      Mar  4 09:34:39 hostname audit: AUDIT1334 prog-id=24 op=UNLOAD
      Mar  4 09:34:39 hostname audit: AUDIT1334 prog-id=23 op=UNLOAD
      Mar  4 09:34:39 hostname audit: AUDIT1334 prog-id=22 op=UNLOAD
      Mar  4 09:34:39 hostname audit: AUDIT1334 prog-id=21 op=UNLOAD
      Mar  4 09:34:39 hostname audit: AUDIT1334 prog-id=20 op=UNLOAD
      Mar  4 09:34:39 hostname audit: AUDIT1334 prog-id=19 op=UNLOAD
      Mar  4 09:34:39 hostname audit: AUDIT1334 prog-id=25 op=LOAD
      Mar  4 09:34:39 hostname audit: AUDIT1334 prog-id=26 op=LOAD
      Mar  4 09:34:39 hostname audit: AUDIT1334 prog-id=27 op=LOAD
      Mar  4 09:34:39 hostname audit: AUDIT1334 prog-id=28 op=LOAD
      Mar  4 09:34:39 hostname audit: AUDIT1334 prog-id=29 op=LOAD
      Mar  4 09:34:39 hostname audit: AUDIT1334 prog-id=30 op=LOAD

このコード行が何を意味するのかを説明できますか?

答え1

非常に基本的な形式で、監査サブシステムからsyslog / logにメッセージを送信するためのいくつかの構成があるようです。

?に保存されているログでより詳細なメッセージを見つけることができますか/var/log/audit/

それにもかかわらず、監査サブAUDIT1334システムメッセージをsyslog形式に変換することをお勧めするすべての項目は、監査サブシステムメッセージタイプ#1334を完全に解析する方法を知らないかもしれません。

~によると監査メッセージ辞書Linux監査サブシステムのプログラミング文書では、メッセージ#1334はAUDIT_BPFロードまたはアンロードを示します。Berkeleyパケットフィルタプログラム。

(Berkeley Packet Filter、BPFは、ユーザー空間プログラムがカーネルモードで実行されるイベントベースのバイトコードプログラムを指定できるようにするLinuxカーネルサブシステムです。プログラムは、カーネルにネットワークトラフィックを事前フィルタリングするように指示できます。 、またはネットワーク負荷分散方式を実装するために使用されますが、現在のBPF実装にはネットワーク関連の機能以上の機能が含まれています。ここでBPFのより技術的な紹介を見つけることができます。確かにBPFには積極的な可能性もあります。.)

監査AUDIT_BPFイベントの種類2019年末にカーネルに追加されたようです。したがって、監査メッセージを処理するのは2019以前のバージョンである可能性が高いですが、カーネルはそれよりも最新のようです。

明らかに、cgroupを使用するには、systemd多くの小さなBPFプログラムが必要な場合があります。したがって、システムがsystemdこれらのメッセージを生成するときに多くのシステムサービスユニットを使用して再起動または再起動した場合、これらのメッセージはおそらく正常です。しかし、まだこれらのログを生成するために更新を検討します。メッセージングコンポーネント(おそらくsyslogプラグイン)auditd?)は、これらのメッセージをより豊富な情報の形で受け取ります。

そうでなければ、あまりにも多くのプロセス(異なるprog-id値)が何の理由もなくBPFプログラムをすばやくロードおよびアンロードするのを見ると、少し疑わしいです。あなたの監査メッセージ処理プロセスが#1334監査メッセージの種類が何であるかわからないという事実は、あなたのシステムが完全に最新ではないため、既知の攻撃に対して脆弱である可能性があることを示唆しています。

関連情報