使用Linux内核审核系统,我使用以下审核规则来审核程序执行。
select
t1.id, t1.type, t2.master_guid,
array_agg (t2a.id)
from
table1 t1
join table2 t2 on t1.id = t2.id
left join table2 t2a on
t2.master_guid = t2a.master_guid and
t2a.id != t1.id
where
t1.type = 'a'
group by
t1.id, t1.type, t2.master_guid
根据审核日志,这似乎等同于审核特定程序路径的-w /usr/sbin/my-program -p x -k my-program-audit-class
系统调用。
为了保持审核日志的整洁,我想抑制execve的执行,如果它们是由一组给定路径的已定义应用程序完成的话。
由于PPID在审核日志条目(my-program)中可用,因此在生成审核日志时必须有某种方法可以按父程序路径进行过滤,但是,我找不到解决方案。
引入帮助脚本以稍后过滤掉audit.log并不是我的首选。