2详细分析

2.1模块功能描述

本模块包含以下几个子系统：

(1) 审计消息的生成和发送子系统；

(2) 审计消息过滤子系统；

(3) 审计系统初始化子系统；

(4) 进程审计子系统；

(5) 文件系统审计子系统。

第(1)个子系统的支撑函数是audit_log、audit_log_start、audit_log_format和audit_log_end，该部分的这几个函数，作为内核函数中的审计API在内核其它部分中广泛地被调用。

函数功能说明：

audit_log：产生一条审计记录。

Audit_log_start：申请审计缓冲区，如果任务当前在系统调用中，系统调用被标识为可审计的，并在系统调用退出时产生一条审计记录。

audit_log_format：格式化一个消息并放入审计缓冲区。

audit_log_end：将格式化好的netlink套接字缓冲区中的审计记录数据发送给用户空间的后台进程，如果审计后台进程存在，使用 netlink机制传输数据，由审计后台将套接字缓冲区中的审计记录数据写入审计文件audit.log中；如果审计后台不存在，使用 printk记录数据，然后由日志后台进程将数据写入到日志文件中。

第(2)个子系统的支撑函数是：audit_filter_user、audit_filter_type、audit_filter_user_rules、audit_receive_filter、audit_add_rule、audit_list_rules、audit_find_rule和audit_del_rule。

函数功能说明：

audit_filter_user：根据用户空间传来的用户身份信息，在用户信息过滤链表上该用户应满足的规则，并根据规则设置的动作(never或always)给出是否对该用户的行为产生审计消息。

audit_filter_type：将审计事件值与规则域的值进行比较，返回逻辑比较结果，若审计事件值符合规则域的定义，则表示不需要查看这个审计事件，返回值为1，否则为0。

audit_filter_user_rules：由audit_filter_user调用。在规则域数组中找出该用户的规则域，并根据规则规定的动作给出是否需要对该用户的行为进行审计的结论。

audit_receive_filter函数： audit_receive_filter管理规则链表数组 audit_filter_list，它负责增加或删除链表上的规则，还负责列出链表上的规则，并传回给应用程序auidtctl。

audit_add_rule：在过滤链表上添加一条规则。

audit_list_rules：列出所有过滤链表上的所有规则。

audit_find_rule：在过滤链表上查找一条规则。

audit_del_rule：在过滤链表上删除一条规则

第(3)个子系统的支撑函数是：audit_init,audit_enable和audit_watch_init。

函数功能说明：

audit_init：在系统引导期间执行的审计系统主要初始化函数，包括创建netlink套接字缓冲区队列，注册套接字接收函数，初始化基于节点的规则链表。

audit_enable：根据内核引导时的命令行参数设置审计系统的状态，参数audit=1表示开启，audit=0表示禁用。

audit_watch_init：创建并初始化一个监视处理实例audit_watch_group，用于处理文件系统监视事件。

第(4)个子系统的支撑函数是：audit_syscall_entry，audit_syscall_exit和大量的进程审计钩子函数。

audit_syscall_entry：在系统调用的入口处被调用，将系统调用的信息先暂存在进程的审计上下文中。

audit_syscall_exit：在系统调用的退出处被调用，将审计上下文中所有本次系统调用期间产生的有关进程的各类信息，符合exit规则链表上规则的信息全部写出(发送给用户)。

第(5)个子系统的支撑函数是：

audit_add_watch：在规则实例 krule中加入监视实例，在inode节点中打上监视的标记，并为所监视的事件注册事件处理。

audit_watch_log_rule_change：生成关于“审计监视信息改变”的审计消息。

audit_watch_handle_event：审计系统收到文件系统变化的事件时进行事件处理的函数。它根据收到的事件类型，更新相关的规则(主要时watch实例的inode信息)，并生成关于“watch信息发生变化“的审计记录。

audit_update_watch：更新watch所监视的事件，更新watch中的索引节点信息，并生成关于规则的watch信息发生变化的审计记录。

audit_remove_watch：删除一个审计监视实例。

audit_get_watch：获取一个审计监视实例。

audit_find_parent：查找被监视文件的父目录信息。

audit_add_to_parent：首先在父目录下的所有文件监视实例中查找，确定规则描述的监视文件是否在这些文件当中，如果找到，将该文件的监视实例交给规则实例，这样，该文件发生变化时，审计系统将会生成相关的审计信息。如果没有找到，说明在该文件还没有监视实例，把监视实例添加到audit_parent的watches链表上。

2.2模块内部函数调用关系

图2-1 audit_log等函数间关系

图2-2  audit_receive_filter等函数间关系

图2-3 audit_add_watch等函数间关系

图2-4 audit_watch_handle_event等函数间关系