記錄部分 | 名稱 | 描述 |
---|---|---|
類型= AVC | 日志類型 | 僅在audit.log檔案中; 它通知使用者這是什麼類型的審計日志類型。是以在我們的例子中,它是一個AVC日志條目 |
味精=審計(1363289005.532:184) | 時間戳 | 自紀元以來以秒為機關的時間戳,表示自1970年1月1日以來的秒數。您可以使用日期-d @後跟數字将其轉換為更易于閱讀的格式,如下所示: |
AVC: | 日志類型(再次) | 通知使用者這是什麼類型的日志條目。在這種情況下,AVC日志條目。 |
否認 | 國家 (如果強制執行) | SELinux做了什麼,可以被拒絕或授予。請注意,如果SELinux處于許可模式(稍後我們将讨論),那麼即使它被允許,它仍然會被拒絕記錄。 |
{read} | 允許 | 請求/執行的權限。在這種情況下,它是一個讀操作。有時權限包含一個集合(如{read write},但在大多數情況下,它是一個權限請求)。 |
為pid = 29199 | 過程PID | 采取行動的程序的程序辨別符(在本例中,嘗試閱讀) |
COMM = “跟蹤” | 處理CMD | 程序指令(不帶參數,限制為15個字元),可幫助使用者識别程序已經消失的過程(PID僅在程序仍在運作時才有用) |
NAME = “線上” | 目标名稱 | 目标的名稱(在本例中為檔案名)。這個領域在很大程度上取決于目标本身; 它也可以是path =,capability =,src =等等。但在這些情況下,其目的應該從日志的其餘部厘清楚。 |
dev的= “sysfs的” | 裝置 | 目标所在的裝置(如果是檔案或檔案系統)。在這種情況下,裝置是sysfs是以我們立即提示這是針對/ sys内部的東西。其他有效示例是dev = md-0,dev = sda1或dev = tmpfs。 |
伊諾= 30 | inode号碼 | 目标檔案的inode編号。在這種情況下,由于我們知道它在sysfs檔案系統上(是以在/ sys中),我們可以使用find來查找這個檔案: |
scontext = staff_u:staff_r:googletalk_plugin_t | 來源背景 | 程序的安全上下文(域) |
tcontext = system_u:object_r:sysfs_t | 目标背景 | 目标資源的安全上下文(在本例中為檔案) |
tclass =檔案 | 目标類 | 目标的類。我們已經看過檔案,dir也不應該讓你感到驚訝。SELinux支援很多類,稍後我們将對其進行描述。 |