Linux Audit log

Background：
linux操作系统 如果发现一个进程不明被杀掉 而且也不知道被哪一个进程杀掉的，如果我们不知道 可以通过

Configuration:

1). root登录并打开audit.rules文件，位于/etc/audit/文件夹下。 
添加以下内容：
-a always,exit -F arch=b64 -S kill -k *wg934*

Note： 如果坏境是32位请 改为 -F arch=b32
*wg934* 只是后面的标记， 方面查看用的 没特别意思

2). 重启aduitd 服务
service auditd restart

3). 查看一个进程的进程号并记录下来， 当下次这个进程被杀掉后打开linux audit 日志查看在文件夹/var/log/audit下。

 

Test and Result:

1). sleep 一个长时间进程 22303 之后kill掉

[root@BJHS23A-changme audit]# 
[root@BJHS23A-changme audit]# sleep 9999999& 
[1] 22303
[root@BJHS23A-changme audit]# kill -9 22303
[1]+ Killed sleep 9999999
[root@BJHS23A-changme audit]#

 

 

linux里面可以看到： opid = objective pid 被杀的目标PID
？其中syscall=62 为什么是kill 还没弄清楚

type=SYSCALL msg=audit(1420632793.383:1410163): arch=c000003e syscall=62 success=yes exit=0 a0=571f a1=9 a2=0 a3=0 items=0 ppid=23986 pid=24009 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts4 ses=77492 comm="bash" exe="/bin/bash" key="*wg934*"

type=OBJ_PID msg=audit(1420632793.383:1410163): opid=22303 oauid=0 ouid=0 oses=77492 obj=<NULL> ocomm="sleep"

使用脚本去kill 一个进程同样会被记录下来：

root@BJHS23A-changme audit]# sleep 999999 &
[1] 714
[root@BJHS23A-changme audit]# python 1.py &
[2] 1390
[root@BJHS23A-changme audit]# vim audit.log 
[1]- Killed sleep 999999

1.py

import os 
import time
pid='714'
command='kill -9' + pid
os.popen(command)
time.sleep(100000000)

 

type=SYSCALL msg=audit(1420635463.926:1419473): arch=c000003e syscall=62 success=yes exit=0 a0=2ca a1=9 a2=0 a3=0 items=0 ppid=1390 pid=1391 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts4 ses=77492 comm="sh" exe="/bin/bash" key="*wg934*"
type=OBJ_PID msg=audit(1420635463.926:1419473): opid=714 oauid=0 ouid=0 oses=77492 obj=<NULL> ocomm="sleep"