/etc/audisp/plugins.d/syslog.conf を以下のように変更して、auditd を再起動するだけ。 :: active = no★ここを yes にする direction = out path = builtin_syslog type = builtin args = LOG_INFO format = string

1.特定のシステムコールの追跡以下は、kill 関連の追跡の場合。まずは、システムコール番号の確認を行う。 これがわからないと audit のログに記録されたシステムコールが何かわからない。 # ausyscall i386 kill kill 37 tkill 238 tgkill 270 # ausyscall …