บางครั้งฉันสนใจที่จะตรวจสอบการเชื่อมต่อ TCP/UDP ด้วยข้อมูลโดยละเอียดเกี่ยวกับกระบวนการที่เริ่มต้นการเชื่อมต่อ ฉันพบบทความที่เป็นประโยชน์เกี่ยวกับเรื่องนั้น - ค้นหากระบวนการเจ้าของการเชื่อมต่อ TCP ที่มีอายุสั้น ดังนั้นฉันได้ดำเนินการ:
auditctl -a exit เสมอ -F arch=b64 -S connect -k MYCONNECT
และเริ่มตรวจสอบการเชื่อมต่อ แต่หลังจากเวลาผ่านไป ฉันสังเกตเห็นว่ารายการใดๆ ใน audit.log ที่มี "SYSCALL=connect" เป็นเรื่องเกี่ยวกับโปรโตคอล IPv4 เท่านั้น พวกเขาทั้งหมดมีมุมมองดังนี้:
type=SYSCALL msg=audit(1626330176.452:56662005): arch=c000003e syscall=42 สำเร็จ=ไม่มีทางออก=-115 a0=1b a1=7ffea6f24b00 a2=10 a3=2 items=0 ppid=1 pid=809 auid=4294967295 uid =0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(ไม่มี) ses=4294967295 comm="NetworkManager" exe="/usr/sbin/NetworkManager" subj=รหัสที่ไม่ถูกจำกัด ="MYCONNECT"ARCH=x86_64 SYSCALL=connect AUID="unset" UID="root" GID="root" EUID="root" SUID="root" FSUID="root" EGID="root" SGID="root" FSGID="ราก"
type=SOCKADDR msg=audit(1626330176.452:56662005): saddr=0200005023E0AA540000000000000000SADDR={ fam=inet laddr=35.224.170.84 lport=80 }
type=PROCTITLE msg=audit(1626330176.452:56662005): proctitle="(kManager)"
โดยที่ fam=inet laddr=35.224.170.84 lport=80 - ปลายทางที่จะเชื่อมต่อ
ฉันเปิดใช้งานโปรโตคอล IPv6 สามารถดูได้ผ่าน
ไอพี
ฉันมีที่อยู่ inet6 และ IPv6 ผ่าน ip6tables ฉันเห็นว่า IPv6 ใช้งานได้และมีการเชื่อมต่อ แต่ฉันไม่เห็นใน audit.log - มีเพียงการเชื่อมต่อ IPv6 ตามที่ฉันกล่าวไว้ข้างต้น
สามารถตรวจสอบ IPv6 ผ่าน auditd ได้หรือไม่?
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
