Всем привет, уже подымал как то тему
Расшифровать HEX IP SADDR из логов audit`a[/url]
Вот теперь другой вопрос С самого начала вкратце: заинтересовался как можно мониторить TCP коннекты, нашел решение:
выполнил
auditctl -a exit,always -F arch=b64 -S connect -k MYCONNECT
Все отлично
но как позже выяснилось - в audit.log есть только строчки коннектов по IPv4 вида:
type=SYSCALL msg=audit(1626330176.452:56662005): arch=c000003e syscall=42 success=no exit=-115 a0=1b a1=7ffea6f24b00 a2=10 a3=2 items=0 ppid=1 pid=809 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=4294967295 comm=«NetworkManager» exe=«/usr/sbin/NetworkManager» subj=unconfined key=«MYCONNECT» ARCH=x86_64 SYSCALL=connect AUID=«unset» UID=«root» GID=«root» EUID=«root» SUID=«root» FSUID=«root» EGID=«root» SGID=«root» FSGID=«root»
type=SOCKADDR msg=audit(1626330176.452:56662005): saddr=0200005023E0AA540000000000000000 SADDR={ fam=inet laddr=35.224.170.84 lport=80 }
type=PROCTITLE msg=audit(1626330176.452:56662005): proctitle=«(kManager)»
и они все только такие, с адресами IPv4 - SADDR={ fam=inet laddr=35.224.170.84 lport=80 }
некоторое время наблюдал - IPv6 там не появляются, хотя он у меня включен и провайдер его поддерживает
ip a - выдает мне inet6 с моим IPv6 адресом, коннекты по нему идут как я видел есть, но в audit.log они не попадают Так возможно ли мониторить IPv6 коннекты с помощью auditd или хотя бы другими средствами с получением такой же подробной информации?
