ホストベースのIDSを使用してシステムコール追跡を実行していますが、プロセスがシステムに入るとすぐにプロセスを追跡する必要があります(の新しい項目/proc
)。この情報を抽出するための割り込みや信号、カーネルデータ構造はありますか?
答え1
Linuxではインフラストラクチャを使用できますaudit
。パッケージをインストールauditd
し、プロセス/ユーザーまたは他の基準と一緒に追跡するシステムコールのルールを追加します。
ホストベースのIDSを使用してシステムコール追跡を実行していますが、プロセスがシステムに入るとすぐにプロセスを追跡する必要があります(の新しい項目/proc
)。この情報を抽出するための割り込みや信号、カーネルデータ構造はありますか?
Linuxではインフラストラクチャを使用できますaudit
。パッケージをインストールauditd
し、プロセス/ユーザーまたは他の基準と一緒に追跡するシステムコールのルールを追加します。