这些是 auditd 模块生成的字段。
-
user.auid -
类型:别名
别名为:user.audit.id
-
user.uid -
类型:别名
别名为:user.id
-
user.fsuid -
类型:别名
别名为:user.filesystem.id
-
user.suid -
类型:别名
别名为:user.saved.id
-
user.gid -
类型:别名
别名为:user.group.id
-
user.sgid -
类型:别名
别名为:user.saved.group.id
-
user.fsgid -
类型:别名
别名为:user.filesystem.group.id
name_map
如果在配置中将 resolve_ids 设置为 true,则 name_map 将包含 uid 字段名称到解析后的名称的映射(例如 auid → root)。
-
user.name_map.auid -
类型:别名
别名为:user.audit.name
-
user.name_map.uid -
类型:别名
别名为:user.name
-
user.name_map.fsuid -
类型:别名
别名为:user.filesystem.name
-
user.name_map.suid -
类型:别名
别名为:user.saved.name
-
user.name_map.gid -
类型:别名
别名为:user.group.name
-
user.name_map.sgid -
类型:别名
别名为:user.saved.group.name
-
user.name_map.fsgid -
类型:别名
别名为:user.filesystem.group.name
selinux
执行者的 SELinux 身份。
-
user.selinux.user -
提交身份验证的帐户
类型:关键字
-
user.selinux.role -
用户的 SELinux 角色
类型:关键字
-
user.selinux.domain -
执行者的 SELinux 域或类型。
类型:关键字
-
user.selinux.level -
执行者的 SELinux 级别。
类型:关键字
示例:s0
-
user.selinux.category -
执行者的 SELinux 类别或分区。
类型:关键字
process
进程属性。
-
process.cwd -
当前工作目录。
类型:别名
别名为:process.working_directory
source
触发事件的来源。
-
source.path -
这是与 unix 套接字关联的路径。
类型:关键字
destination
触发事件的目标地址。
-
destination.path -
这是与 unix 套接字关联的路径。
类型:关键字
-
auditd.message_type -
审计消息类型(例如 syscall 或 apparmor_denied)。
类型:关键字
示例:syscall
-
auditd.sequence -
内核分配给事件的序列号。序列号在内核中存储为 uint32,并且可以循环。
类型:长整型
-
auditd.session -
分配给登录的会话 ID。与登录会话相关的所有事件都将具有相同的值。
类型:关键字
-
auditd.result -
审计操作的结果(成功/失败)。
类型:关键字
示例:success 或 fail
actor
执行者是触发审计事件的用户。
-
auditd.summary.actor.primary -
执行者的主要身份。这是执行者的原始登录 ID。即使用户切换到另一个帐户,它也不会更改。
类型:关键字
-
auditd.summary.actor.secondary -
执行者的辅助身份。这通常与主要身份相同,除非用户使用了
su。类型:关键字
object
这是事件中被操作的事物或对象。
-
auditd.summary.object.type -
对“事物”是什么的描述(例如文件、套接字、用户会话)。
类型:关键字
-
auditd.summary.object.primary -
类型:关键字
-
auditd.summary.object.secondary -
类型:关键字
-
auditd.summary.how -
这描述了如何执行操作。通常,这是触发事件的正在执行的 exe 或命令。
类型:关键字
paths
与事件关联的路径列表。
-
auditd.paths.inode -
inode 编号
类型:关键字
-
auditd.paths.dev -
在 /dev 中找到的设备名称
类型:关键字
-
auditd.paths.obj_user -
类型:关键字
-
auditd.paths.obj_role -
类型:关键字
-
auditd.paths.obj_domain -
类型:关键字
-
auditd.paths.obj_level -
类型:关键字
-
auditd.paths.objtype -
类型:关键字
-
auditd.paths.ouid -
文件所有者用户 ID
类型:关键字
-
auditd.paths.rdev -
设备标识符(仅限特殊文件)
类型:关键字
-
auditd.paths.nametype -
被引用的文件操作类型
类型:关键字
-
auditd.paths.ogid -
文件所有者组 ID
类型:关键字
-
auditd.paths.item -
正在记录哪个项目
类型:关键字
-
auditd.paths.mode -
文件的模式标志
类型:关键字
-
auditd.paths.name -
avcs 中的文件名
类型:关键字
data
来自审计消息的数据。
-
auditd.data.action -
netfilter 数据包处置
类型:关键字
-
auditd.data.minor -
设备次编号
类型:关键字
-
auditd.data.acct -
用户的帐户名
类型:关键字
-
auditd.data.addr -
用户连接的远程地址
类型:关键字
-
auditd.data.cipher -
选择的加密密码名称
类型:关键字
-
auditd.data.id -
在帐户更改期间
类型:关键字
-
auditd.data.entries -
netfilter 表中的条目数
类型:关键字
-
auditd.data.kind -
加密操作中的服务器或客户端
类型:关键字
-
auditd.data.ksize -
加密操作的密钥大小
类型:关键字
-
auditd.data.spid -
发送进程 ID
类型:关键字
-
auditd.data.arch -
elf 架构标志
类型:关键字
-
auditd.data.argc -
execve 系统调用的参数个数
类型:关键字
-
auditd.data.major -
设备主编号
类型:关键字
-
auditd.data.unit -
systemd 单元
类型:关键字
-
auditd.data.table -
netfilter 表名
类型:关键字
-
auditd.data.terminal -
用户运行程序的终端名称
类型:关键字
-
auditd.data.grantors -
批准操作的 pam 模块
类型:关键字
-
auditd.data.direction -
加密操作的方向
类型:关键字
-
auditd.data.op -
正在执行的被审计的操作
类型:关键字
-
auditd.data.tty -
用户运行程序的 tty udevice
类型:关键字
-
auditd.data.syscall -
事件发生时有效的系统调用号
类型:关键字
-
auditd.data.data -
TTY 文本
类型:关键字
-
auditd.data.family -
netfilter 协议
类型:关键字
-
auditd.data.mac -
选择的加密 MAC 算法
类型:关键字
-
auditd.data.pfs -
完全正向保密方法
类型:关键字
-
auditd.data.items -
事件中的路径记录数
类型:关键字
-
auditd.data.a0 -
类型:关键字
-
auditd.data.a1 -
类型:关键字
-
auditd.data.a2 -
类型:关键字
-
auditd.data.a3 -
类型:关键字
-
auditd.data.hostname -
用户连接的主机名
类型:关键字
-
auditd.data.lport -
本地网络端口
类型:关键字
-
auditd.data.rport -
远程端口号
类型:关键字
-
auditd.data.exit -
系统调用退出代码
类型:关键字
-
auditd.data.fp -
加密密钥指纹
类型:关键字
-
auditd.data.laddr -
本地网络地址
类型:关键字
-
auditd.data.sport -
本地端口号
类型:关键字
-
auditd.data.capability -
posix 功能
类型:关键字
-
auditd.data.nargs -
套接字调用的参数个数
类型:关键字
-
auditd.data.new-enabled -
新的 TTY 审计启用设置
类型:关键字
-
auditd.data.audit_backlog_limit -
审计系统的积压队列大小
类型:关键字
-
auditd.data.dir -
目录名
类型:关键字
-
auditd.data.cap_pe -
进程有效功能映射
类型:关键字
-
auditd.data.model -
用于虚拟化的安全模型
类型:关键字
-
auditd.data.new_pp -
新的进程允许功能映射
类型:关键字
-
auditd.data.old-enabled -
当前 TTY 审计启用设置
类型:关键字
-
auditd.data.oauid -
对象的登录用户 ID
类型:关键字
-
auditd.data.old -
旧值
类型:关键字
-
auditd.data.banners -
打印页面上使用的横幅
类型:关键字
-
auditd.data.feature -
正在更改的内核功能
类型:关键字
-
auditd.data.vm-ctx -
虚拟机的上下文字符串
类型:关键字
-
auditd.data.opid -
对象的进程 ID
类型:关键字
-
auditd.data.seperms -
正在使用的 SELinux 权限
类型:关键字
-
auditd.data.seresult -
SELinux AVC 决定授予/拒绝
类型:关键字
-
auditd.data.new-rng -
从虚拟机添加的 rng 的设备名称
类型:关键字
-
auditd.data.old-net -
分配给虚拟机的当前 MAC 地址
类型:关键字
-
auditd.data.sigev_signo -
信号编号
类型:关键字
-
auditd.data.ino -
inode 编号
类型:关键字
-
auditd.data.old_enforcing -
旧的 MAC 强制状态
类型:关键字
-
auditd.data.old-vcpu -
当前 CPU 内核数
类型:关键字
-
auditd.data.range -
用户的 SE Linux 范围
类型:关键字
-
auditd.data.res -
审计操作的结果(成功/失败)
类型:关键字
-
auditd.data.added -
检测到的新文件数
类型:关键字
-
auditd.data.fam -
套接字地址族
类型:关键字
-
auditd.data.nlnk-pid -
netlink 数据包发送方的 pid
类型:关键字
-
auditd.data.subj -
lspp 主体的上下文字符串
类型:关键字
-
auditd.data.a[0-3] -
系统调用的参数
类型:关键字
-
auditd.data.cgroup -
sysfs 中 cgroup 的路径
类型:关键字
-
auditd.data.kernel -
内核版本号
类型:关键字
-
auditd.data.ocomm -
对象的命令行名称
类型:关键字
-
auditd.data.new-net -
分配给虚拟机的 MAC 地址
类型:关键字
-
auditd.data.permissive -
SELinux 处于宽容模式
类型:关键字
-
auditd.data.class -
分配给虚拟机的资源类
类型:关键字
-
auditd.data.compat -
is_compat_task 结果
类型:关键字
-
auditd.data.fi -
文件分配的继承功能映射
类型:关键字
-
auditd.data.changed -
已更改文件数
类型:关键字
-
auditd.data.msg -
审计记录的有效负载
类型:关键字
-
auditd.data.dport -
远程端口号
类型:关键字
-
auditd.data.new-seuser -
新的 SELinux 用户
类型:关键字
-
auditd.data.invalid_context -
SELinux 上下文
类型:关键字
-
auditd.data.dmac -
远程 MAC 地址
类型:关键字
-
auditd.data.ipx-net -
IPX 网络号
类型:关键字
-
auditd.data.iuid -
ipc 对象的用户 ID
类型:关键字
-
auditd.data.macproto -
以太网数据包类型 ID 字段
类型:关键字
-
auditd.data.obj -
lspp 对象上下文字符串
类型:关键字
-
auditd.data.ipid -
IP 数据报片段标识符
类型:关键字
-
auditd.data.new-fs -
添加到虚拟机的文件系统
类型:关键字
-
auditd.data.vm-pid -
虚拟机的进程 ID
类型:关键字
-
auditd.data.cap_pi -
进程继承功能映射
类型:关键字
-
auditd.data.old-auid -
先前的 auid 值
类型:关键字
-
auditd.data.oses -
对象的会话 ID
类型:关键字
-
auditd.data.fd -
文件描述符编号
类型:关键字
-
auditd.data.igid -
ipc 对象的组 ID
类型:关键字
-
auditd.data.new-disk -
添加到虚拟机的磁盘
类型:关键字
-
auditd.data.parent -
父文件的 inode 编号
类型:关键字
-
auditd.data.len -
长度
类型:关键字
-
auditd.data.oflag -
打开系统调用标志
类型:关键字
-
auditd.data.uuid -
UUID
类型:关键字
-
auditd.data.code -
seccomp 操作码
类型:关键字
-
auditd.data.nlnk-grp -
netlink 组号
类型:关键字
-
auditd.data.cap_fp -
文件允许功能映射
类型:关键字
-
auditd.data.new-mem -
新的内存量(KB)
类型:关键字
-
auditd.data.seperm -
正在决定的 SELinux 权限
类型:关键字
-
auditd.data.enforcing -
新的 MAC 强制状态
类型:关键字
-
auditd.data.new-chardev -
分配给虚拟机的新的字符设备
类型:关键字
-
auditd.data.old-rng -
从虚拟机中删除的 rng 的设备名称
类型:关键字
-
auditd.data.outif -
出接口号
类型:关键字
-
auditd.data.cmd -
正在执行的命令
类型:关键字
-
auditd.data.hook -
数据包来自的 netfilter 钩子
类型:关键字
-
auditd.data.new-level -
新的运行级别
类型:关键字
-
auditd.data.sauid -
发送登录用户 ID
类型:关键字
-
auditd.data.sig -
信号编号
类型:关键字
-
信号 -
auditd.data.audit_backlog_wait_time
类型:关键字
-
审计系统的积压等待时间 -
auditd.data.printer
类型:关键字
-
打印机名称 -
auditd.data.old-mem
类型:关键字
-
当前内存量(KB) -
auditd.data.perm
类型:关键字
-
正在使用的文件权限 -
auditd.data.old_pi
类型:关键字
-
旧进程继承的功能映射 -
auditd.data.state
类型:关键字
-
审计守护程序配置的结果状态 -
auditd.data.format
类型:关键字
-
审计日志的格式 -
auditd.data.new_gid
类型:关键字
-
要分配的新组 ID -
auditd.data.tcontext
类型:关键字
-
目标或对象的上下文字符串 -
设备主编号
类型:关键字
-
auditd.data.maj -
主设备号
类型:关键字
-
auditd.data.watch -
监视记录中的文件名
类型:关键字
-
auditd.data.device -
设备名称
类型:关键字
-
auditd.data.grp -
组名
类型:关键字
-
auditd.data.bool -
SELinux 布尔值的名称
类型:关键字
-
auditd.data.icmp_type -
icmp 消息的类型
类型:关键字
-
auditd.data.new_lock -
功能锁的新值
类型:关键字
-
auditd.data.old_prom -
网络混杂模式标志
类型:关键字
-
auditd.data.acl -
分配给虚拟机的资源的访问模式
类型:关键字
-
auditd.data.ip -
打印机的网络地址
类型:关键字
-
auditd.data.new_pi -
新进程继承的功能映射
类型:关键字
-
auditd.data.default-context -
默认 MAC 上下文
类型:关键字
-
auditd.data.inode_gid -
inode 所有者的组 ID
类型:关键字
-
auditd.data.new-log_passwd -
TTY 密码记录的新值
类型:关键字
-
auditd.data.new_pe -
新的进程有效功能映射
类型:关键字
-
auditd.data.selected-context -
分配给会话的新 MAC 上下文
类型:关键字
-
auditd.data.cap_fver -
文件系统功能版本号
类型:关键字
-
auditd.data.file -
文件名
类型:关键字
-
auditd.data.net -
网络 MAC 地址
类型:关键字
-
auditd.data.virt -
引用的虚拟化类型
类型:关键字
-
auditd.data.cap_pp -
进程允许的功能映射
类型:关键字
-
auditd.data.old-range -
当前 SELinux 范围
类型:关键字
-
auditd.data.resrc -
正在分配的资源
类型:关键字
-
auditd.data.new-range -
新的 SELinux 范围
类型:关键字
-
auditd.data.obj_gid -
对象的组 ID
类型:关键字
-
auditd.data.proto -
网络协议
类型:关键字
-
auditd.data.old-disk -
要从虚拟机中删除的磁盘
类型:关键字
-
auditd.data.audit_failure -
审计系统的故障模式
类型:关键字
-
auditd.data.inif -
入接口号
类型:关键字
-
auditd.data.vm -
虚拟机名称
类型:关键字
-
auditd.data.flags -
mmap 系统调用标志
类型:关键字
-
auditd.data.nlnk-fam -
netlink 协议号
类型:关键字
-
auditd.data.old-fs -
要从虚拟机中删除的文件系统
类型:关键字
-
auditd.data.old-ses -
之前的 ses 值
类型:关键字
-
auditd.data.seqno -
分配给会话的新 MAC 上下文
类型:关键字
-
序列号 -
auditd.data.fver
类型:关键字
-
文件系统版本 -
auditd.data.qbytes
类型:关键字
-
ipc 对象的字节数 -
auditd.data.seuser
类型:关键字
-
用户的 SE Linux 用户帐户 -
auditd.data.cap_fe
类型:关键字
-
分配给文件的有效功能映射 -
auditd.data.new-vcpu
类型:关键字
-
新的 CPU 核心数 -
auditd.data.old-level
类型:关键字
-
旧的运行级别 -
auditd.data.old_pp
类型:关键字
-
旧进程允许的功能映射 -
auditd.data.daddr
类型:关键字
-
远程 IP 地址 -
auditd.data.old-role
类型:关键字
-
当前 SELinux 角色 -
auditd.data.ioctlcmd
类型:关键字
-
ioctl 系统调用的请求参数 -
auditd.data.smac
类型:关键字
-
本地 MAC 地址 -
auditd.data.seuser
类型:关键字
-
auditd.data.apparmor -
apparmor 事件信息
类型:关键字
-
auditd.data.fe -
扇区错误
类型:关键字
-
auditd.data.perm_mask -
触发监视事件的文件权限掩码
类型:关键字
-
auditd.data.ses -
登录会话 ID
类型:关键字
-
auditd.data.cap_fi -
文件继承的功能映射
类型:关键字
-
auditd.data.obj_uid -
对象的用户 ID
类型:关键字
-
auditd.data.reason -
表示操作原因的文本字符串
类型:关键字
-
auditd.data.list -
审计系统的过滤器列表号
类型:关键字
-
auditd.data.old_lock -
功能锁的当前值
类型:关键字
-
auditd.data.bus -
虚拟机资源所属的子系统总线名称
类型:关键字
-
auditd.data.old_pe -
功能锁的新值
类型:关键字
-
旧进程有效功能映射 -
auditd.data.new-role
类型:关键字
-
新的 SELinux 角色 -
auditd.data.prom
类型:关键字
-
网络接口混杂模式 -
auditd.data.uri
类型:关键字
-
指向打印机的 URI -
auditd.data.audit_enabled
类型:关键字
-
审计系统的启用/禁用状态 -
auditd.data.old-log_passwd
类型:关键字
-
TTY 密码记录的当前值 -
auditd.data.old-seuser
类型:关键字
-
当前 SELinux 用户 -
auditd.data.per
类型:关键字
-
linux 性格 -
auditd.data.scontext
类型:关键字
-
主体的上下文字符串 -
auditd.data.tclass
类型:关键字
-
目标的对象分类 -
auditd.data.ver
类型:关键字
-
审计守护程序的版本号 -
auditd.data.new
类型:关键字
-
要在功能中设置的值 -
auditd.data.val
类型:关键字
-
与操作关联的通用值 -
auditd.data.img-ctx
类型:关键字
-
虚拟机的磁盘映像上下文字符串 -
auditd.data.old-chardev
类型:关键字
-
分配给虚拟机的当前字符设备 -
auditd.data.old_val
类型:关键字
-
SELinux 布尔值的当前值 -
auditd.data.success
类型:关键字
-
系统调用是否成功 -
auditd.data.inode_uid
类型:关键字
-
inode 所有者的用户 ID -
auditd.data.removed
类型:关键字
-
已删除文件的数量 -
auditd.data.socket.port
类型:关键字
-
端口号。 -
auditd.data.socket.saddr
类型:关键字
原始套接字地址结构。
-
auditd.data.socket.addr -
这是与 unix 套接字关联的路径。
类型:关键字
-
远程地址。 -
auditd.data.socket.family
类型:别名
套接字家族(unix、ipv4、ipv6、netlink)。
-
例如:unix -
auditd.data.socket.path
类型:别名
套接字路径(仅限 unix 套接字家族)。
auditd.messages
从内核接收到的用于构建本文档的原始消息的有序列表。如果在处理数据时出错或在配置中设置了 include_raw_message,则会出现此字段。
地区名。
geoip.country_iso_code
国家/地区 ISO 代码。
geoip.country_iso_code
geoip.location
geoip.country_iso_code
经度和纬度。