FreeBSDでユーザーが呼び出したシステムコールを監視するために監査を使用する方法は?

FreeBSDでユーザーが呼び出したシステムコールを監視するために監査を使用する方法は?

私はFreeBSDから呼び出されるすべてのシステムコールを監視するために.NETを使用したいと思いますauditd。 Linuxではこれが可能であることを知っていますが、FreeBSDの設定方法に関する情報が見つかりません。

FreeBSDですべてのシステムコールを監視することは可能ですか?


詳細

今私の/etc/security/audit_control姿はこんな感じです。

#
# $FreeBSD: releng/10.3/contrib/openbsm/etc/audit_control 293161 2016-01-04 16:32:21Z brueffer $
#
dir:/var/audit
dist:off
flags:lo,aa
minfree:5
naflags:lo,aa
policy:cnt,argv
filesz:2M
expire-after:10M

フラグはすべてを監査するように設定され、ポリシーはコマンドラインを記録するように設定されますexecve(2) (参考文献を参照audit_control(5))。

答え1

鉱山にタイプミスがあるようです/etc/security/audit_control

#
# $FreeBSD: releng/10.3/contrib/openbsm/etc/audit_control 293161 2016-01-04 16:32:21Z brueffer $
#
dir:/var/audit
dist:off
flags:all
minfree:5
naflags:all
policy:cnt,argv,arge,seq,
filesz:2M
expire-after:10M

この構成は、大規模な監査証跡を生成します。

a0Linux Auditでは、およびフィールドに明示的に存在しますa1が、OpenBSM形式ではパラメータマーカーに格納されa2ますa3(参考資料を参照audit.log(5))。

たとえば、

header,108,11,close(2),0,Mon Aug 15 01:47:53 2016, + 865 msec
argument,1,0x6,fd
attribute,644,root,wheel,88,3148396,6394391
subject,-1,root,wheel,root,wheel,1721,0,0,0.0.0.0
return,success,0
trailer,108

関連情報