カスタム Agent ルールの作成

Docs > Datadog Security > カスタム Agent ルールの作成

Agent 式の構文

クラウドワークロードセキュリティ (CWS) は、まず Datadog Agent 内のアクティビティを Agent 式に照らして評価し、収集するアクティビティを決定します。CWS ルールのこの部分は、Agent式と呼ばれます。Agent 式は、Datadog のセキュリティ言語 (SECL) を使用します。SECL 式の標準的なフォーマットは、以下のとおりです。

<event-type>.<event-attribute> <operator> <value> <event-attribute> ...

このフォーマットを使うと、ルール例は次のようになります。

open.file.path == "/etc/shadow" && file.path not in ["/usr/sbin/vipw"]

トリガー

トリガーは、システムで見られるアクティビティの種類に対応するイベントです。現在サポートされているトリガーは以下のとおりです。

SECL イベント	タイプ	定義	Agent バージョン
`bind`	ネットワーク	[実験] バインドが実行された	7.37
`bpf`	カーネル	BPF コマンドが実行された	7.33
`capset`	プロセス	あるプロセスが容量セットを変更した	7.27
`chmod`	ファイル	ファイルの権限が変更された	7.27
`chown`	ファイル	ファイルの所有者が変更された	7.27
`dns`	ネットワーク	DNS リクエストが送信された	7.36
`exec`	プロセス	プロセスが実行またはフォークされた	7.27
`exit`	プロセス	プロセスが終了した	7.38
`link`	ファイル	ファイルの新しい名前/エイリアスを作成する	7.27
`load_module`	カーネル	新しいカーネルモジュールがロードされた	7.35
`mkdir`	ファイル	ディレクトリが作成された	7.27
`mmap`	カーネル	mmap コマンドが実行された	7.35
`mount`	ファイル	[実験] ファイルシステムがマウントされました	7.42
`mprotect`	カーネル	mprotect コマンドが実行された	7.35
`open`	ファイル	ファイルが開かれた	7.27
`ptrace`	カーネル	ptrace コマンドが実行された	7.35
`removexattr`	ファイル	拡張属性を削除する	7.27
`rename`	ファイル	ファイル/ディレクトリの名前が変更された	7.27
`rmdir`	ファイル	ディレクトリが削除された	7.27
`selinux`	カーネル	SELinux 操作が実行された	7.30
`setgid`	プロセス	あるプロセスが有効な gid を変更した	7.27
`setuid`	プロセス	あるプロセスが有効な uid を変更した	7.27
`setxattr`	ファイル	拡張属性を設定する	7.27
`signal`	プロセス	シグナルが送信された	7.35
`splice`	ファイル	splice コマンドが実行された	7.36
`unlink`	ファイル	ファイルが削除された	7.27
`unload_module`	カーネル	カーネルモジュールが削除された	7.35
`utimes`	ファイル	ファイルのアクセス/変更時間を変更する	7.27

演算子

SECL 演算子は、イベント属性を組み合わせて完全な式を作成するために使用されます。以下の演算子が利用可能です。

SECL 演算子	種類	定義	Agent バージョン
`==`	プロセス	等しい	7.27
`!=`	ファイル	等しくない	7.27
`>`	ファイル	大なり	7.27
`>=`	ファイル	以上	7.27
`<`	ファイル	小なり	7.27
`<=`	ファイル	以下	7.27
`!`	ファイル	異なる	7.27
`^`	ファイル	異なるバイナリ	7.27
`in [elem1, ...]`	ファイル	要素がリストに含まれている	7.27
`not in [elem1, ...]`	ファイル	要素がリストに含まれていない	7.27
`=~`	ファイル	一致する文字列	7.27
`!~`	ファイル	一致しない文字列	7.27
`&`	ファイル	バイナリおよび	7.27
`\|`	ファイル	バイナリまたは	7.27
`&&`	ファイル	ロジカルおよび	7.27
`\|\|`	ファイル	ロジカルまたは	7.27
`in CIDR`	ネットワーク	要素が IP 範囲にある	7.37
`not in CIDR`	ネットワーク	要素が IP 範囲にない	7.37
`allin CIDR`	ネットワーク	すべての要素が IP 範囲にある	7.37
`in [CIDR1, ...]`	ネットワーク	要素が IP 範囲にある	7.37
`not in [CIDR1, ...]`	ネットワーク	要素が IP 範囲にない	7.37
`allin [CIDR1, ...]`	ネットワーク	すべての要素が IP 範囲にある	7.37

パターンと正規表現

SECL 式では、パターンや正規表現を使用することができます。これらは in、not in、=~、!~ 演算子とともに使用することができます。

形式	例	対応フィールド	Agent バージョン
`~"pattern"`	`~"httpd.*"`	すべて	7.27
`r"regexp"`	`r"rc[0-9]+"`	`.path` を除くすべて	7.27

.path フィールドのパターンは Glob として使用されます。* は同じレベルのファイルやフォルダにマッチします。7.34 で導入された ** は、すべてのファイルとサブフォルダにマッチさせるためにパスの末尾に使用することができます。

Duration

SECL を使用すると、特定の期間に発生したイベントをトリガーとする継続時間ベースのルールを記述することができます。例えば、プロセスが作成された後、一定時間以上秘密ファイルにアクセスした場合にトリガーします。このようなルールは、次のように書くことができます。

open.file.path == "/etc/secret" && process.file.name == "java" && process.created_at > 5s

期間は、数値に単位の接尾辞をつけたものです。対応するサフィックスは “s”、“m”、“h” です。

変数

SECL 変数は、値として、または値の一部として使用することができる定義済みの変数です。

例えば、process.pid という変数を使ったルールは以下のようになります。

open.file.path == "/proc/${process.pid}/maps"

利用可能な変数の一覧です。

SECL 変数	定義	Agent バージョン
`process.pid`	プロセス PID	7.33

CIDR と IP 範囲

SECL では、CIDR および IP のマッチングが可能です。in、not in、allin のような演算子と CIDR や IP の表記を組み合わせて使うことができます。

このようなルールは、次のように書くことができます。

dns.question.name == "example.com" && network.destination.ip in ["192.168.1.25", "10.0.0.0/24"]

ヘルパー

SECL にはヘルパーが存在し、ユーザーは正規表現のような汎用的なテクニックに頼ることなく、高度なルールを書くことができます。

コマンドライン引数

args_flags と args_options は、コマンドライン引数に基づく CWS 規則の記述を容易にするためのヘルパーです。

args_flags は、1 つまたは 2 つのハイフン文字で始まり、関連する値を受け入れない引数を捕捉するために使用されます。

例:

version は cat --version コマンドの args_flags の一部です。
netstat -ln コマンドの args_flags には l と n の両方が含まれています。

args_options は、1 つまたは 2 つのハイフン文字で始まり、同じ引数として指定されるが ‘=’ 文字で区切られた値、または次の引数として指定された値を受け入れる引数を捕捉するために使用されます。

例:

ls -T 8 --width=8 コマンドの args_options には T=8 と width=8 の両方が含まれています。
exec.args_options ~= [ “s=.*\’” ] は -s 引数と \ で終わるコマンドで sudoedit が起動されたことを検出するために使用することができます。

ファイル権限

file.mode に加えて file.rights 属性が使用できるようになりました。file.mode はカーネルが設定した値を保持することができますが、file.rights はユーザーが設定した値のみを保持します。これらの権限は chmod コマンドにあるため、より馴染みがあるかもしれません。

イベント属性

すべてのイベントタイプに共通

プロパティ	定義
`container.created_at`	コンテナ作成時のタイムスタンプ
`container.id`	コンテナの ID
`container.tags`	コンテナのタグ
`event.async`	syscall が非同期の場合、true
`event.timestamp`	イベントのタイムスタンプ
`network.destination.ip`	IP アドレス
`network.destination.port`	ポート番号
`network.device.ifindex`	インターフェイス ifindex
`network.device.ifname`	インターフェイス ifname
`network.l3_protocol`	ネットワークパケットの l3 プロトコル
`network.l4_protocol`	ネットワークパケットの l4 プロトコル
`network.size`	ネットワークパケットのバイト数
`network.source.ip`	IP アドレス
`network.source.port`	ポート番号
`process.ancestors.args`	プロセスの引数 (文字列。argv0 を除く)
`process.ancestors.args_flags`	プロセス引数のフラグ
`process.ancestors.args_options`	オプションとしてのプロセスの引数
`process.ancestors.args_truncated`	引数の切り捨てのインジケーター
`process.ancestors.argv`	プロセスの引数 (配列。argv0 を除く)
`process.ancestors.argv0`	プロセスの第一引数
`process.ancestors.cap_effective`	プロセスの有効なケイパビリティセット
`process.ancestors.cap_permitted`	プロセスの許可されたケイパビリティセット
`process.ancestors.comm`	プロセスの Comm 属性
`process.ancestors.container.id`	コンテナ ID
`process.ancestors.created_at`	プロセス作成時のタイムスタンプ
`process.ancestors.egid`	プロセスの有効な GID
`process.ancestors.egroup`	プロセスの有効なグループ
`process.ancestors.envp`	プロセスの環境変数
`process.ancestors.envs`	プロセスの環境変数名
`process.ancestors.envs_truncated`	環境変数の切り捨てのインジケーター
`process.ancestors.euid`	プロセスの有効な UID
`process.ancestors.euser`	プロセスの有効なユーザー
`process.ancestors.file.change_time`	ファイルの変更時間
`process.ancestors.file.filesystem`	ファイルの filesystem
`process.ancestors.file.gid`	ファイルの所有者の GID
`process.ancestors.file.group`	ファイルの所有者のグループ
`process.ancestors.file.hashes`	[実験] このファイルに対して計算された暗号ハッシュのリスト
`process.ancestors.file.in_upper_layer`	ファイルレイヤーのインジケーター (例えば OverlayFS の場合)
`process.ancestors.file.inode`	ファイルの Inode
`process.ancestors.file.mode`	ファイルのモード
`process.ancestors.file.modification_time`	ファイルの修正時間
`process.ancestors.file.mount_id`	ファイルのマウント ID
`process.ancestors.file.name`	ファイルのベース名
`process.ancestors.file.name.length`	対応する文字列の長さ
`process.ancestors.file.package.name`	[試験運用] このファイルを提供したパッケージの名前
`process.ancestors.file.package.source_version`	[試験運用] このファイルを提供したパッケージのソースパッケージの正式バージョン名
`process.ancestors.file.package.version`	[試験運用] このファイルを提供したパッケージの正式バージョン名
`process.ancestors.file.path`	ファイルのパス
`process.ancestors.file.path.length`	対応する文字列の長さ
`process.ancestors.file.rights`	ファイルの権限
`process.ancestors.file.uid`	ファイルの所有者の UID
`process.ancestors.file.user`	ファイルの所有者のユーザー
`process.ancestors.fsgid`	プロセスの FileSystem-gid
`process.ancestors.fsgroup`	プロセスの FileSystem-group
`process.ancestors.fsuid`	プロセスの FileSystem-uid
`process.ancestors.fsuser`	プロセスの FileSystem-user
`process.ancestors.gid`	プロセスの GID
`process.ancestors.group`	プロセスのグループ
`process.ancestors.interpreter.file.change_time`	ファイルの変更時間
`process.ancestors.interpreter.file.filesystem`	ファイルの filesystem
`process.ancestors.interpreter.file.gid`	ファイルの所有者の GID
`process.ancestors.interpreter.file.group`	ファイルの所有者のグループ
`process.ancestors.interpreter.file.hashes`	[実験] このファイルに対して計算された暗号ハッシュのリスト
`process.ancestors.interpreter.file.in_upper_layer`	ファイルレイヤーのインジケーター (例えば OverlayFS の場合)
`process.ancestors.interpreter.file.inode`	ファイルの Inode
`process.ancestors.interpreter.file.mode`	ファイルのモード
`process.ancestors.interpreter.file.modification_time`	ファイルの修正時間
`process.ancestors.interpreter.file.mount_id`	ファイルのマウント ID
`process.ancestors.interpreter.file.name`	ファイルのベース名
`process.ancestors.interpreter.file.name.length`	対応する文字列の長さ
`process.ancestors.interpreter.file.package.name`	[試験運用] このファイルを提供したパッケージの名前
`process.ancestors.interpreter.file.package.source_version`	[試験運用] このファイルを提供したパッケージのソースパッケージの正式バージョン名
`process.ancestors.interpreter.file.package.version`	[試験運用] このファイルを提供したパッケージの正式バージョン名
`process.ancestors.interpreter.file.path`	ファイルのパス
`process.ancestors.interpreter.file.path.length`	対応する文字列の長さ
`process.ancestors.interpreter.file.rights`	ファイルの権限
`process.ancestors.interpreter.file.uid`	ファイルの所有者の UID
`process.ancestors.interpreter.file.user`	ファイルの所有者のユーザー
`process.ancestors.is_kworker`	プロセスが kworker であるかどうかを示します
`process.ancestors.is_thread`	プロセスがスレッド (他のプログラムを実行していない子プロセス) とみなされているかどうかを示します
`process.ancestors.pid`	プロセスのプロセス ID (スレッドグループ ID とも呼ばれる)
`process.ancestors.ppid`	親プロセス ID
`process.ancestors.tid`	スレッドのスレッド ID
`process.ancestors.tty_name`	プロセスに関連する TTY の名前
`process.ancestors.uid`	プロセスの UID
`process.ancestors.user`	プロセスのユーザー
`process.args`	プロセスの引数 (文字列。argv0 を除く)
`process.args_flags`	プロセス引数のフラグ
`process.args_options`	オプションとしてのプロセスの引数
`process.args_truncated`	引数の切り捨てのインジケーター
`process.argv`	プロセスの引数 (配列。argv0 を除く)
`process.argv0`	プロセスの第一引数
`process.cap_effective`	プロセスの有効なケイパビリティセット
`process.cap_permitted`	プロセスの許可されたケイパビリティセット
`process.comm`	プロセスの Comm 属性
`process.container.id`	コンテナ ID
`process.created_at`	プロセス作成時のタイムスタンプ
`process.egid`	プロセスの有効な GID
`process.egroup`	プロセスの有効なグループ
`process.envp`	プロセスの環境変数
`process.envs`	プロセスの環境変数名
`process.envs_truncated`	環境変数の切り捨てのインジケーター
`process.euid`	プロセスの有効な UID
`process.euser`	プロセスの有効なユーザー
`process.file.change_time`	ファイルの変更時間
`process.file.filesystem`	ファイルの filesystem
`process.file.gid`	ファイルの所有者の GID
`process.file.group`	ファイルの所有者のグループ
`process.file.hashes`	[実験] このファイルに対して計算された暗号ハッシュのリスト
`process.file.in_upper_layer`	ファイルレイヤーのインジケーター (例えば OverlayFS の場合)
`process.file.inode`	ファイルの Inode
`process.file.mode`	ファイルのモード
`process.file.modification_time`	ファイルの修正時間
`process.file.mount_id`	ファイルのマウント ID
`process.file.name`	ファイルのベース名
`process.file.name.length`	対応する文字列の長さ
`process.file.package.name`	[試験運用] このファイルを提供したパッケージの名前
`process.file.package.source_version`	[試験運用] このファイルを提供したパッケージのソースパッケージの正式バージョン名
`process.file.package.version`	[試験運用] このファイルを提供したパッケージの正式バージョン名
`process.file.path`	ファイルのパス
`process.file.path.length`	対応する文字列の長さ
`process.file.rights`	ファイルの権限
`process.file.uid`	ファイルの所有者の UID
`process.file.user`	ファイルの所有者のユーザー
`process.fsgid`	プロセスの FileSystem-gid
`process.fsgroup`	プロセスの FileSystem-group
`process.fsuid`	プロセスの FileSystem-uid
`process.fsuser`	プロセスの FileSystem-user
`process.gid`	プロセスの GID
`process.group`	プロセスのグループ
`process.interpreter.file.change_time`	ファイルの変更時間
`process.interpreter.file.filesystem`	ファイルの filesystem
`process.interpreter.file.gid`	ファイルの所有者の GID
`process.interpreter.file.group`	ファイルの所有者のグループ
`process.interpreter.file.hashes`	[実験] このファイルに対して計算された暗号ハッシュのリスト
`process.interpreter.file.in_upper_layer`	ファイルレイヤーのインジケーター (例えば OverlayFS の場合)
`process.interpreter.file.inode`	ファイルの Inode
`process.interpreter.file.mode`	ファイルのモード
`process.interpreter.file.modification_time`	ファイルの修正時間
`process.interpreter.file.mount_id`	ファイルのマウント ID
`process.interpreter.file.name`	ファイルのベース名
`process.interpreter.file.name.length`	対応する文字列の長さ
`process.interpreter.file.package.name`	[試験運用] このファイルを提供したパッケージの名前
`process.interpreter.file.package.source_version`	[試験運用] このファイルを提供したパッケージのソースパッケージの正式バージョン名
`process.interpreter.file.package.version`	[試験運用] このファイルを提供したパッケージの正式バージョン名
`process.interpreter.file.path`	ファイルのパス
`process.interpreter.file.path.length`	対応する文字列の長さ
`process.interpreter.file.rights`	ファイルの権限
`process.interpreter.file.uid`	ファイルの所有者の UID
`process.interpreter.file.user`	ファイルの所有者のユーザー
`process.is_kworker`	プロセスが kworker であるかどうかを示します
`process.is_thread`	プロセスがスレッド (他のプログラムを実行していない子プロセス) とみなされているかどうかを示します
`process.parent.args`	プロセスの引数 (文字列。argv0 を除く)
`process.parent.args_flags`	プロセス引数のフラグ
`process.parent.args_options`	オプションとしてのプロセスの引数
`process.parent.args_truncated`	引数の切り捨てのインジケーター
`process.parent.argv`	プロセスの引数 (配列。argv0 を除く)
`process.parent.argv0`	プロセスの第一引数
`process.parent.cap_effective`	プロセスの有効なケイパビリティセット
`process.parent.cap_permitted`	プロセスの許可されたケイパビリティセット
`process.parent.comm`	プロセスの Comm 属性
`process.parent.container.id`	コンテナ ID
`process.parent.created_at`	プロセス作成時のタイムスタンプ
`process.parent.egid`	プロセスの有効な GID
`process.parent.egroup`	プロセスの有効なグループ
`process.parent.envp`	プロセスの環境変数
`process.parent.envs`	プロセスの環境変数名
`process.parent.envs_truncated`	環境変数の切り捨てのインジケーター
`process.parent.euid`	プロセスの有効な UID
`process.parent.euser`	プロセスの有効なユーザー
`process.parent.file.change_time`	ファイルの変更時間
`process.parent.file.filesystem`	ファイルの filesystem
`process.parent.file.gid`	ファイルの所有者の GID
`process.parent.file.group`	ファイルの所有者のグループ
`process.parent.file.hashes`	[実験] このファイルに対して計算された暗号ハッシュのリスト
`process.parent.file.in_upper_layer`	ファイルレイヤーのインジケーター (例えば OverlayFS の場合)
`process.parent.file.inode`	ファイルの Inode
`process.parent.file.mode`	ファイルのモード
`process.parent.file.modification_time`	ファイルの修正時間
`process.parent.file.mount_id`	ファイルのマウント ID
`process.parent.file.name`	ファイルのベース名
`process.parent.file.name.length`	対応する文字列の長さ
`process.parent.file.package.name`	[試験運用] このファイルを提供したパッケージの名前
`process.parent.file.package.source_version`	[試験運用] このファイルを提供したパッケージのソースパッケージの正式バージョン名
`process.parent.file.package.version`	[試験運用] このファイルを提供したパッケージの正式バージョン名
`process.parent.file.path`	ファイルのパス
`process.parent.file.path.length`	対応する文字列の長さ
`process.parent.file.rights`	ファイルの権限
`process.parent.file.uid`	ファイルの所有者の UID
`process.parent.file.user`	ファイルの所有者のユーザー
`process.parent.fsgid`	プロセスの FileSystem-gid
`process.parent.fsgroup`	プロセスの FileSystem-group
`process.parent.fsuid`	プロセスの FileSystem-uid
`process.parent.fsuser`	プロセスの FileSystem-user
`process.parent.gid`	プロセスの GID
`process.parent.group`	プロセスのグループ
`process.parent.interpreter.file.change_time`	ファイルの変更時間
`process.parent.interpreter.file.filesystem`	ファイルの filesystem
`process.parent.interpreter.file.gid`	ファイルの所有者の GID
`process.parent.interpreter.file.group`	ファイルの所有者のグループ
`process.parent.interpreter.file.hashes`	[実験] このファイルに対して計算された暗号ハッシュのリスト
`process.parent.interpreter.file.in_upper_layer`	ファイルレイヤーのインジケーター (例えば OverlayFS の場合)
`process.parent.interpreter.file.inode`	ファイルの Inode
`process.parent.interpreter.file.mode`	ファイルのモード
`process.parent.interpreter.file.modification_time`	ファイルの修正時間
`process.parent.interpreter.file.mount_id`	ファイルのマウント ID
`process.parent.interpreter.file.name`	ファイルのベース名
`process.parent.interpreter.file.name.length`	対応する文字列の長さ
`process.parent.interpreter.file.package.name`	[試験運用] このファイルを提供したパッケージの名前
`process.parent.interpreter.file.package.source_version`	[試験運用] このファイルを提供したパッケージのソースパッケージの正式バージョン名
`process.parent.interpreter.file.package.version`	[試験運用] このファイルを提供したパッケージの正式バージョン名
`process.parent.interpreter.file.path`	ファイルのパス
`process.parent.interpreter.file.path.length`	対応する文字列の長さ
`process.parent.interpreter.file.rights`	ファイルの権限
`process.parent.interpreter.file.uid`	ファイルの所有者の UID
`process.parent.interpreter.file.user`	ファイルの所有者のユーザー
`process.parent.is_kworker`	プロセスが kworker であるかどうかを示します
`process.parent.is_thread`	プロセスがスレッド (他のプログラムを実行していない子プロセス) とみなされているかどうかを示します
`process.parent.pid`	プロセスのプロセス ID (スレッドグループ ID とも呼ばれる)
`process.parent.ppid`	親プロセス ID
`process.parent.tid`	スレッドのスレッド ID
`process.parent.tty_name`	プロセスに関連する TTY の名前
`process.parent.uid`	プロセスの UID
`process.parent.user`	プロセスのユーザー
`process.pid`	プロセスのプロセス ID (スレッドグループ ID とも呼ばれる)
`process.ppid`	親プロセス ID
`process.tid`	スレッドのスレッド ID
`process.tty_name`	プロセスに関連する TTY の名前
`process.uid`	プロセスの UID
`process.user`	プロセスのユーザー

イベント `bind`

このイベントタイプは実験的なものであり、将来的に変更される可能性があります。

バインドが実行された

プロパティ	定義
`bind.addr.family`	アドレスファミリー
`bind.addr.ip`	IP アドレス
`bind.addr.port`	ポート番号
`bind.retval`	syscall の戻り値

イベント `bpf`

BPF コマンドが実行された

プロパティ	定義
`bpf.cmd`	BPF コマンド名
`bpf.map.name`	eBPF マップの名前 (7.35 で追加)
`bpf.map.type`	eBPF マップのタイプ
`bpf.prog.attach_type`	eBPF プログラムのアタッチタイプ
`bpf.prog.helpers`	eBPF プログラムが使用する eBPF ヘルパー (7.35 で追加)
`bpf.prog.name`	eBPF プログラムの名前 (7.35 で追加)
`bpf.prog.tag`	eBPF プログラムのハッシュ (sha1) (7.35 で追加)
`bpf.prog.type`	eBPF プログラムのタイプ
`bpf.retval`	syscall の戻り値

イベント `capset`

あるプロセスが容量セットを変更した

プロパティ	定義
`capset.cap_effective`	プロセスの有効なケイパビリティセット
`capset.cap_permitted`	プロセスの許可されたケイパビリティセット

イベント `chmod`

ファイルの権限が変更された

プロパティ	定義
`chmod.file.change_time`	ファイルの変更時間
`chmod.file.destination.mode`	chmod されたファイルの新しいモード
`chmod.file.destination.rights`	chmod されたファイルの新しい権限
`chmod.file.filesystem`	ファイルの filesystem
`chmod.file.gid`	ファイルの所有者の GID
`chmod.file.group`	ファイルの所有者のグループ
`chmod.file.hashes`	[実験] このファイルに対して計算された暗号ハッシュのリスト
`chmod.file.in_upper_layer`	ファイルレイヤーのインジケーター (例えば OverlayFS の場合)
`chmod.file.inode`	ファイルの Inode
`chmod.file.mode`	ファイルのモード
`chmod.file.modification_time`	ファイルの修正時間
`chmod.file.mount_id`	ファイルのマウント ID
`chmod.file.name`	ファイルのベース名
`chmod.file.name.length`	対応する文字列の長さ
`chmod.file.package.name`	[試験運用] このファイルを提供したパッケージの名前
`chmod.file.package.source_version`	[試験運用] このファイルを提供したパッケージのソースパッケージの正式バージョン名
`chmod.file.package.version`	[試験運用] このファイルを提供したパッケージの正式バージョン名
`chmod.file.path`	ファイルのパス
`chmod.file.path.length`	対応する文字列の長さ
`chmod.file.rights`	ファイルの権限
`chmod.file.uid`	ファイルの所有者の UID
`chmod.file.user`	ファイルの所有者のユーザー
`chmod.retval`	syscall の戻り値

イベント `chown`

ファイルの所有者が変更された

プロパティ	定義
`chown.file.change_time`	ファイルの変更時間
`chown.file.destination.gid`	chown されたファイルの所有者の新しい GID
`chown.file.destination.group`	chown されたファイルの所有者の新しいグループ
`chown.file.destination.uid`	chown されたファイルの所有者の新しい UID
`chown.file.destination.user`	chown されたファイルの所有者の新しいユーザー
`chown.file.filesystem`	ファイルの filesystem
`chown.file.gid`	ファイルの所有者の GID
`chown.file.group`	ファイルの所有者のグループ
`chown.file.hashes`	[実験] このファイルに対して計算された暗号ハッシュのリスト
`chown.file.in_upper_layer`	ファイルレイヤーのインジケーター (例えば OverlayFS の場合)
`chown.file.inode`	ファイルの Inode
`chown.file.mode`	ファイルのモード
`chown.file.modification_time`	ファイルの修正時間
`chown.file.mount_id`	ファイルのマウント ID
`chown.file.name`	ファイルのベース名
`chown.file.name.length`	対応する文字列の長さ
`chown.file.package.name`	[試験運用] このファイルを提供したパッケージの名前
`chown.file.package.source_version`	[試験運用] このファイルを提供したパッケージのソースパッケージの正式バージョン名
`chown.file.package.version`	[試験運用] このファイルを提供したパッケージの正式バージョン名
`chown.file.path`	ファイルのパス
`chown.file.path.length`	対応する文字列の長さ
`chown.file.rights`	ファイルの権限
`chown.file.uid`	ファイルの所有者の UID
`chown.file.user`	ファイルの所有者のユーザー
`chown.retval`	syscall の戻り値

イベント `dns`

DNS リクエストが送信された

プロパティ	定義
`dns.id`	[実験] DNS リクエスト ID
`dns.question.class`	DNS の質問で調べたクラス
`dns.question.count`	DNS リクエストの質問数の合計
`dns.question.length`	DNS リクエストの合計サイズ (バイト)
`dns.question.name`	クエリ対象のドメイン名
`dns.question.name.length`	対応する文字列の長さ
`dns.question.type`	DNS の質問タイプを指定する 2 オクテットのコード

イベント `exec`

プロセスが実行またはフォークされた

プロパティ	定義
`exec.args`	プロセスの引数 (文字列。argv0 を除く)
`exec.args_flags`	プロセス引数のフラグ
`exec.args_options`	オプションとしてのプロセスの引数
`exec.args_truncated`	引数の切り捨てのインジケーター
`exec.argv`	プロセスの引数 (配列。argv0 を除く)
`exec.argv0`	プロセスの第一引数
`exec.cap_effective`	プロセスの有効なケイパビリティセット
`exec.cap_permitted`	プロセスの許可されたケイパビリティセット
`exec.comm`	プロセスの Comm 属性
`exec.container.id`	コンテナ ID
`exec.created_at`	プロセス作成時のタイムスタンプ
`exec.egid`	プロセスの有効な GID
`exec.egroup`	プロセスの有効なグループ
`exec.envp`	プロセスの環境変数
`exec.envs`	プロセスの環境変数名
`exec.envs_truncated`	環境変数の切り捨てのインジケーター
`exec.euid`	プロセスの有効な UID
`exec.euser`	プロセスの有効なユーザー
`exec.file.change_time`	ファイルの変更時間
`exec.file.filesystem`	ファイルの filesystem
`exec.file.gid`	ファイルの所有者の GID
`exec.file.group`	ファイルの所有者のグループ
`exec.file.hashes`	[実験] このファイルに対して計算された暗号ハッシュのリスト
`exec.file.in_upper_layer`	ファイルレイヤーのインジケーター (例えば OverlayFS の場合)
`exec.file.inode`	ファイルの Inode
`exec.file.mode`	ファイルのモード
`exec.file.modification_time`	ファイルの修正時間
`exec.file.mount_id`	ファイルのマウント ID
`exec.file.name`	ファイルのベース名
`exec.file.name.length`	対応する文字列の長さ
`exec.file.package.name`	[試験運用] このファイルを提供したパッケージの名前
`exec.file.package.source_version`	[試験運用] このファイルを提供したパッケージのソースパッケージの正式バージョン名
`exec.file.package.version`	[試験運用] このファイルを提供したパッケージの正式バージョン名
`exec.file.path`	ファイルのパス
`exec.file.path.length`	対応する文字列の長さ
`exec.file.rights`	ファイルの権限
`exec.file.uid`	ファイルの所有者の UID
`exec.file.user`	ファイルの所有者のユーザー
`exec.fsgid`	プロセスの FileSystem-gid
`exec.fsgroup`	プロセスの FileSystem-group
`exec.fsuid`	プロセスの FileSystem-uid
`exec.fsuser`	プロセスの FileSystem-user
`exec.gid`	プロセスの GID
`exec.group`	プロセスのグループ
`exec.interpreter.file.change_time`	ファイルの変更時間
`exec.interpreter.file.filesystem`	ファイルの filesystem
`exec.interpreter.file.gid`	ファイルの所有者の GID
`exec.interpreter.file.group`	ファイルの所有者のグループ
`exec.interpreter.file.hashes`	[実験] このファイルに対して計算された暗号ハッシュのリスト
`exec.interpreter.file.in_upper_layer`	ファイルレイヤーのインジケーター (例えば OverlayFS の場合)
`exec.interpreter.file.inode`	ファイルの Inode
`exec.interpreter.file.mode`	ファイルのモード
`exec.interpreter.file.modification_time`	ファイルの修正時間
`exec.interpreter.file.mount_id`	ファイルのマウント ID
`exec.interpreter.file.name`	ファイルのベース名
`exec.interpreter.file.name.length`	対応する文字列の長さ
`exec.interpreter.file.package.name`	[試験運用] このファイルを提供したパッケージの名前
`exec.interpreter.file.package.source_version`	[試験運用] このファイルを提供したパッケージのソースパッケージの正式バージョン名
`exec.interpreter.file.package.version`	[試験運用] このファイルを提供したパッケージの正式バージョン名
`exec.interpreter.file.path`	ファイルのパス
`exec.interpreter.file.path.length`	対応する文字列の長さ
`exec.interpreter.file.rights`	ファイルの権限
`exec.interpreter.file.uid`	ファイルの所有者の UID
`exec.interpreter.file.user`	ファイルの所有者のユーザー
`exec.is_kworker`	プロセスが kworker であるかどうかを示します
`exec.is_thread`	プロセスがスレッド (他のプログラムを実行していない子プロセス) とみなされているかどうかを示します
`exec.pid`	プロセスのプロセス ID (スレッドグループ ID とも呼ばれる)
`exec.ppid`	親プロセス ID
`exec.tid`	スレッドのスレッド ID
`exec.tty_name`	プロセスに関連する TTY の名前
`exec.uid`	プロセスの UID
`exec.user`	プロセスのユーザー

イベント `exit`

プロセスが終了した

プロパティ	定義
`exit.args`	プロセスの引数 (文字列。argv0 を除く)
`exit.args_flags`	プロセス引数のフラグ
`exit.args_options`	オプションとしてのプロセスの引数
`exit.args_truncated`	引数の切り捨てのインジケーター
`exit.argv`	プロセスの引数 (配列。argv0 を除く)
`exit.argv0`	プロセスの第一引数
`exit.cap_effective`	プロセスの有効なケイパビリティセット
`exit.cap_permitted`	プロセスの許可されたケイパビリティセット
`exit.cause`	プロセス終了の原因 (EXITED、SIGNALED、COREDUMPED のいずれか 1 つ)
`exit.code`	プロセスの終了コード、またはプロセスを終了させたシグナルの番号
`exit.comm`	プロセスの Comm 属性
`exit.container.id`	コンテナ ID
`exit.created_at`	プロセス作成時のタイムスタンプ
`exit.egid`	プロセスの有効な GID
`exit.egroup`	プロセスの有効なグループ
`exit.envp`	プロセスの環境変数
`exit.envs`	プロセスの環境変数名
`exit.envs_truncated`	環境変数の切り捨てのインジケーター
`exit.euid`	プロセスの有効な UID
`exit.euser`	プロセスの有効なユーザー
`exit.file.change_time`	ファイルの変更時間
`exit.file.filesystem`	ファイルの filesystem
`exit.file.gid`	ファイルの所有者の GID
`exit.file.group`	ファイルの所有者のグループ
`exit.file.hashes`	[実験] このファイルに対して計算された暗号ハッシュのリスト
`exit.file.in_upper_layer`	ファイルレイヤーのインジケーター (例えば OverlayFS の場合)
`exit.file.inode`	ファイルの Inode
`exit.file.mode`	ファイルのモード
`exit.file.modification_time`	ファイルの修正時間
`exit.file.mount_id`	ファイルのマウント ID
`exit.file.name`	ファイルのベース名
`exit.file.name.length`	対応する文字列の長さ
`exit.file.package.name`	[試験運用] このファイルを提供したパッケージの名前
`exit.file.package.source_version`	[試験運用] このファイルを提供したパッケージのソースパッケージの正式バージョン名
`exit.file.package.version`	[試験運用] このファイルを提供したパッケージの正式バージョン名
`exit.file.path`	ファイルのパス
`exit.file.path.length`	対応する文字列の長さ
`exit.file.rights`	ファイルの権限
`exit.file.uid`	ファイルの所有者の UID
`exit.file.user`	ファイルの所有者のユーザー
`exit.fsgid`	プロセスの FileSystem-gid
`exit.fsgroup`	プロセスの FileSystem-group
`exit.fsuid`	プロセスの FileSystem-uid
`exit.fsuser`	プロセスの FileSystem-user
`exit.gid`	プロセスの GID
`exit.group`	プロセスのグループ
`exit.interpreter.file.change_time`	ファイルの変更時間
`exit.interpreter.file.filesystem`	ファイルの filesystem
`exit.interpreter.file.gid`	ファイルの所有者の GID
`exit.interpreter.file.group`	ファイルの所有者のグループ
`exit.interpreter.file.hashes`	[実験] このファイルに対して計算された暗号ハッシュのリスト
`exit.interpreter.file.in_upper_layer`	ファイルレイヤーのインジケーター (例えば OverlayFS の場合)
`exit.interpreter.file.inode`	ファイルの Inode
`exit.interpreter.file.mode`	ファイルのモード
`exit.interpreter.file.modification_time`	ファイルの修正時間
`exit.interpreter.file.mount_id`	ファイルのマウント ID
`exit.interpreter.file.name`	ファイルのベース名
`exit.interpreter.file.name.length`	対応する文字列の長さ
`exit.interpreter.file.package.name`	[試験運用] このファイルを提供したパッケージの名前
`exit.interpreter.file.package.source_version`	[試験運用] このファイルを提供したパッケージのソースパッケージの正式バージョン名
`exit.interpreter.file.package.version`	[試験運用] このファイルを提供したパッケージの正式バージョン名
`exit.interpreter.file.path`	ファイルのパス
`exit.interpreter.file.path.length`	対応する文字列の長さ
`exit.interpreter.file.rights`	ファイルの権限
`exit.interpreter.file.uid`	ファイルの所有者の UID
`exit.interpreter.file.user`	ファイルの所有者のユーザー
`exit.is_kworker`	プロセスが kworker であるかどうかを示します
`exit.is_thread`	プロセスがスレッド (他のプログラムを実行していない子プロセス) とみなされているかどうかを示します
`exit.pid`	プロセスのプロセス ID (スレッドグループ ID とも呼ばれる)
`exit.ppid`	親プロセス ID
`exit.tid`	スレッドのスレッド ID
`exit.tty_name`	プロセスに関連する TTY の名前
`exit.uid`	プロセスの UID
`exit.user`	プロセスのユーザー

イベント `link`

ファイルの新しい名前/エイリアスを作成する

プロパティ	定義
`link.file.change_time`	ファイルの変更時間
`link.file.destination.change_time`	ファイルの変更時間
`link.file.destination.filesystem`	ファイルの filesystem
`link.file.destination.gid`	ファイルの所有者の GID
`link.file.destination.group`	ファイルの所有者のグループ
`link.file.destination.hashes`	[実験] このファイルに対して計算された暗号ハッシュのリスト
`link.file.destination.in_upper_layer`	ファイルレイヤーのインジケーター (例えば OverlayFS の場合)
`link.file.destination.inode`	ファイルの Inode
`link.file.destination.mode`	ファイルのモード
`link.file.destination.modification_time`	ファイルの修正時間
`link.file.destination.mount_id`	ファイルのマウント ID
`link.file.destination.name`	ファイルのベース名
`link.file.destination.name.length`	対応する文字列の長さ
`link.file.destination.package.name`	[試験運用] このファイルを提供したパッケージの名前
`link.file.destination.package.source_version`	[試験運用] このファイルを提供したパッケージのソースパッケージの正式バージョン名
`link.file.destination.package.version`	[試験運用] このファイルを提供したパッケージの正式バージョン名
`link.file.destination.path`	ファイルのパス
`link.file.destination.path.length`	対応する文字列の長さ
`link.file.destination.rights`	ファイルの権限
`link.file.destination.uid`	ファイルの所有者の UID
`link.file.destination.user`	ファイルの所有者のユーザー
`link.file.filesystem`	ファイルの filesystem
`link.file.gid`	ファイルの所有者の GID
`link.file.group`	ファイルの所有者のグループ
`link.file.hashes`	[実験] このファイルに対して計算された暗号ハッシュのリスト
`link.file.in_upper_layer`	ファイルレイヤーのインジケーター (例えば OverlayFS の場合)
`link.file.inode`	ファイルの Inode
`link.file.mode`	ファイルのモード
`link.file.modification_time`	ファイルの修正時間
`link.file.mount_id`	ファイルのマウント ID
`link.file.name`	ファイルのベース名
`link.file.name.length`	対応する文字列の長さ
`link.file.package.name`	[試験運用] このファイルを提供したパッケージの名前
`link.file.package.source_version`	[試験運用] このファイルを提供したパッケージのソースパッケージの正式バージョン名
`link.file.package.version`	[試験運用] このファイルを提供したパッケージの正式バージョン名
`link.file.path`	ファイルのパス
`link.file.path.length`	対応する文字列の長さ
`link.file.rights`	ファイルの権限
`link.file.uid`	ファイルの所有者の UID
`link.file.user`	ファイルの所有者のユーザー
`link.retval`	syscall の戻り値

イベント `load_module`

新しいカーネルモジュールがロードされた

プロパティ	定義
`load_module.args`	新しいカーネルモジュールのパラメーター (文字列)
`load_module.args_truncated`	引数が切り捨てられたか否かを示します
`load_module.argv`	新しいカーネルモジュールのパラメーター (配列)
`load_module.file.change_time`	ファイルの変更時間
`load_module.file.filesystem`	ファイルの filesystem
`load_module.file.gid`	ファイルの所有者の GID
`load_module.file.group`	ファイルの所有者のグループ
`load_module.file.hashes`	[実験] このファイルに対して計算された暗号ハッシュのリスト
`load_module.file.in_upper_layer`	ファイルレイヤーのインジケーター (例えば OverlayFS の場合)
`load_module.file.inode`	ファイルの Inode
`load_module.file.mode`	ファイルのモード
`load_module.file.modification_time`	ファイルの修正時間
`load_module.file.mount_id`	ファイルのマウント ID
`load_module.file.name`	ファイルのベース名
`load_module.file.name.length`	対応する文字列の長さ
`load_module.file.package.name`	[試験運用] このファイルを提供したパッケージの名前
`load_module.file.package.source_version`	[試験運用] このファイルを提供したパッケージのソースパッケージの正式バージョン名
`load_module.file.package.version`	[試験運用] このファイルを提供したパッケージの正式バージョン名
`load_module.file.path`	ファイルのパス
`load_module.file.path.length`	対応する文字列の長さ
`load_module.file.rights`	ファイルの権限
`load_module.file.uid`	ファイルの所有者の UID
`load_module.file.user`	ファイルの所有者のユーザー
`load_module.loaded_from_memory`	カーネルモジュールがメモリからロードされたかどうかを示す
`load_module.name`	新しいカーネルモジュールの名前
`load_module.retval`	syscall の戻り値

イベント `mkdir`

ディレクトリが作成された

プロパティ	定義
`mkdir.file.change_time`	ファイルの変更時間
`mkdir.file.destination.mode`	新しいディレクトリのモード
`mkdir.file.destination.rights`	新しいディレクトリの権限
`mkdir.file.filesystem`	ファイルの filesystem
`mkdir.file.gid`	ファイルの所有者の GID
`mkdir.file.group`	ファイルの所有者のグループ
`mkdir.file.hashes`	[実験] このファイルに対して計算された暗号ハッシュのリスト
`mkdir.file.in_upper_layer`	ファイルレイヤーのインジケーター (例えば OverlayFS の場合)
`mkdir.file.inode`	ファイルの Inode
`mkdir.file.mode`	ファイルのモード
`mkdir.file.modification_time`	ファイルの修正時間
`mkdir.file.mount_id`	ファイルのマウント ID
`mkdir.file.name`	ファイルのベース名
`mkdir.file.name.length`	対応する文字列の長さ
`mkdir.file.package.name`	[試験運用] このファイルを提供したパッケージの名前
`mkdir.file.package.source_version`	[試験運用] このファイルを提供したパッケージのソースパッケージの正式バージョン名
`mkdir.file.package.version`	[試験運用] このファイルを提供したパッケージの正式バージョン名
`mkdir.file.path`	ファイルのパス
`mkdir.file.path.length`	対応する文字列の長さ
`mkdir.file.rights`	ファイルの権限
`mkdir.file.uid`	ファイルの所有者の UID
`mkdir.file.user`	ファイルの所有者のユーザー
`mkdir.retval`	syscall の戻り値

イベント `mmap`

mmap コマンドが実行された

プロパティ	定義
`mmap.file.change_time`	ファイルの変更時間
`mmap.file.filesystem`	ファイルの filesystem
`mmap.file.gid`	ファイルの所有者の GID
`mmap.file.group`	ファイルの所有者のグループ
`mmap.file.hashes`	[実験] このファイルに対して計算された暗号ハッシュのリスト
`mmap.file.in_upper_layer`	ファイルレイヤーのインジケーター (例えば OverlayFS の場合)
`mmap.file.inode`	ファイルの Inode
`mmap.file.mode`	ファイルのモード
`mmap.file.modification_time`	ファイルの修正時間
`mmap.file.mount_id`	ファイルのマウント ID
`mmap.file.name`	ファイルのベース名
`mmap.file.name.length`	対応する文字列の長さ
`mmap.file.package.name`	[試験運用] このファイルを提供したパッケージの名前
`mmap.file.package.source_version`	[試験運用] このファイルを提供したパッケージのソースパッケージの正式バージョン名
`mmap.file.package.version`	[試験運用] このファイルを提供したパッケージの正式バージョン名
`mmap.file.path`	ファイルのパス
`mmap.file.path.length`	対応する文字列の長さ
`mmap.file.rights`	ファイルの権限
`mmap.file.uid`	ファイルの所有者の UID
`mmap.file.user`	ファイルの所有者のユーザー
`mmap.flags`	メモリセグメントフラグ
`mmap.protection`	メモリセグメント保護
`mmap.retval`	syscall の戻り値

イベント `mount`

このイベントタイプは実験的なものであり、将来的に変更される可能性があります。

ファイルシステムがマウントされました

プロパティ	定義
`mount.fs_type`	マウントされたファイルシステムの種類
`mount.mountpoint.path`	マウントポイントのパス
`mount.retval`	syscall の戻り値
`mount.source.path`	バインドマウントのソースパス

イベント `mprotect`

mprotect コマンドが実行された

プロパティ	定義
`mprotect.req_protection`	新規メモリセグメント保護
`mprotect.retval`	syscall の戻り値
`mprotect.vm_protection`	初期メモリセグメント保護

イベント `open`

ファイルが開かれた

プロパティ	定義
`open.file.change_time`	ファイルの変更時間
`open.file.destination.mode`	作成されたファイルのモード
`open.file.filesystem`	ファイルの filesystem
`open.file.gid`	ファイルの所有者の GID
`open.file.group`	ファイルの所有者のグループ
`open.file.hashes`	[実験] このファイルに対して計算された暗号ハッシュのリスト
`open.file.in_upper_layer`	ファイルレイヤーのインジケーター (例えば OverlayFS の場合)
`open.file.inode`	ファイルの Inode
`open.file.mode`	ファイルのモード
`open.file.modification_time`	ファイルの修正時間
`open.file.mount_id`	ファイルのマウント ID
`open.file.name`	ファイルのベース名
`open.file.name.length`	対応する文字列の長さ
`open.file.package.name`	[試験運用] このファイルを提供したパッケージの名前
`open.file.package.source_version`	[試験運用] このファイルを提供したパッケージのソースパッケージの正式バージョン名
`open.file.package.version`	[試験運用] このファイルを提供したパッケージの正式バージョン名
`open.file.path`	ファイルのパス
`open.file.path.length`	対応する文字列の長さ
`open.file.rights`	ファイルの権限
`open.file.uid`	ファイルの所有者の UID
`open.file.user`	ファイルの所有者のユーザー
`open.flags`	ファイルを開く際に使用するフラグ
`open.retval`	syscall の戻り値

イベント `ptrace`

ptrace コマンドが実行された

プロパティ	定義
`ptrace.request`	ptrace リクエスト
`ptrace.retval`	syscall の戻り値
`ptrace.tracee.ancestors.args`	プロセスの引数 (文字列。argv0 を除く)
`ptrace.tracee.ancestors.args_flags`	プロセス引数のフラグ
`ptrace.tracee.ancestors.args_options`	オプションとしてのプロセスの引数
`ptrace.tracee.ancestors.args_truncated`	引数の切り捨てのインジケーター
`ptrace.tracee.ancestors.argv`	プロセスの引数 (配列。argv0 を除く)
`ptrace.tracee.ancestors.argv0`	プロセスの第一引数
`ptrace.tracee.ancestors.cap_effective`	プロセスの有効なケイパビリティセット
`ptrace.tracee.ancestors.cap_permitted`	プロセスの許可されたケイパビリティセット
`ptrace.tracee.ancestors.comm`	プロセスの Comm 属性
`ptrace.tracee.ancestors.container.id`	コンテナ ID
`ptrace.tracee.ancestors.created_at`	プロセス作成時のタイムスタンプ
`ptrace.tracee.ancestors.egid`	プロセスの有効な GID
`ptrace.tracee.ancestors.egroup`	プロセスの有効なグループ
`ptrace.tracee.ancestors.envp`	プロセスの環境変数
`ptrace.tracee.ancestors.envs`	プロセスの環境変数名
`ptrace.tracee.ancestors.envs_truncated`	環境変数の切り捨てのインジケーター
`ptrace.tracee.ancestors.euid`	プロセスの有効な UID
`ptrace.tracee.ancestors.euser`	プロセスの有効なユーザー
`ptrace.tracee.ancestors.file.change_time`	ファイルの変更時間
`ptrace.tracee.ancestors.file.filesystem`	ファイルの filesystem
`ptrace.tracee.ancestors.file.gid`	ファイルの所有者の GID
`ptrace.tracee.ancestors.file.group`	ファイルの所有者のグループ
`ptrace.tracee.ancestors.file.hashes`	[実験] このファイルに対して計算された暗号ハッシュのリスト
`ptrace.tracee.ancestors.file.in_upper_layer`	ファイルレイヤーのインジケーター (例えば OverlayFS の場合)
`ptrace.tracee.ancestors.file.inode`	ファイルの Inode
`ptrace.tracee.ancestors.file.mode`	ファイルのモード
`ptrace.tracee.ancestors.file.modification_time`	ファイルの修正時間
`ptrace.tracee.ancestors.file.mount_id`	ファイルのマウント ID
`ptrace.tracee.ancestors.file.name`	ファイルのベース名
`ptrace.tracee.ancestors.file.name.length`	対応する文字列の長さ
`ptrace.tracee.ancestors.file.package.name`	[試験運用] このファイルを提供したパッケージの名前
`ptrace.tracee.ancestors.file.package.source_version`	[試験運用] このファイルを提供したパッケージのソースパッケージの正式バージョン名
`ptrace.tracee.ancestors.file.package.version`	[試験運用] このファイルを提供したパッケージの正式バージョン名
`ptrace.tracee.ancestors.file.path`	ファイルのパス
`ptrace.tracee.ancestors.file.path.length`	対応する文字列の長さ
`ptrace.tracee.ancestors.file.rights`	ファイルの権限
`ptrace.tracee.ancestors.file.uid`	ファイルの所有者の UID
`ptrace.tracee.ancestors.file.user`	ファイルの所有者のユーザー
`ptrace.tracee.ancestors.fsgid`	プロセスの FileSystem-gid
`ptrace.tracee.ancestors.fsgroup`	プロセスの FileSystem-group
`ptrace.tracee.ancestors.fsuid`	プロセスの FileSystem-uid
`ptrace.tracee.ancestors.fsuser`	プロセスの FileSystem-user
`ptrace.tracee.ancestors.gid`	プロセスの GID
`ptrace.tracee.ancestors.group`	プロセスのグループ
`ptrace.tracee.ancestors.interpreter.file.change_time`	ファイルの変更時間
`ptrace.tracee.ancestors.interpreter.file.filesystem`	ファイルの filesystem
`ptrace.tracee.ancestors.interpreter.file.gid`	ファイルの所有者の GID
`ptrace.tracee.ancestors.interpreter.file.group`	ファイルの所有者のグループ
`ptrace.tracee.ancestors.interpreter.file.hashes`	[実験] このファイルに対して計算された暗号ハッシュのリスト
`ptrace.tracee.ancestors.interpreter.file.in_upper_layer`	ファイルレイヤーのインジケーター (例えば OverlayFS の場合)
`ptrace.tracee.ancestors.interpreter.file.inode`	ファイルの Inode
`ptrace.tracee.ancestors.interpreter.file.mode`	ファイルのモード
`ptrace.tracee.ancestors.interpreter.file.modification_time`	ファイルの修正時間
`ptrace.tracee.ancestors.interpreter.file.mount_id`	ファイルのマウント ID
`ptrace.tracee.ancestors.interpreter.file.name`	ファイルのベース名
`ptrace.tracee.ancestors.interpreter.file.name.length`	対応する文字列の長さ
`ptrace.tracee.ancestors.interpreter.file.package.name`	[試験運用] このファイルを提供したパッケージの名前
`ptrace.tracee.ancestors.interpreter.file.package.source_version`	[試験運用] このファイルを提供したパッケージのソースパッケージの正式バージョン名
`ptrace.tracee.ancestors.interpreter.file.package.version`	[試験運用] このファイルを提供したパッケージの正式バージョン名
`ptrace.tracee.ancestors.interpreter.file.path`	ファイルのパス
`ptrace.tracee.ancestors.interpreter.file.path.length`	対応する文字列の長さ
`ptrace.tracee.ancestors.interpreter.file.rights`	ファイルの権限
`ptrace.tracee.ancestors.interpreter.file.uid`	ファイルの所有者の UID
`ptrace.tracee.ancestors.interpreter.file.user`	ファイルの所有者のユーザー
`ptrace.tracee.ancestors.is_kworker`	プロセスが kworker であるかどうかを示します
`ptrace.tracee.ancestors.is_thread`	プロセスがスレッド (他のプログラムを実行していない子プロセス) とみなされているかどうかを示します
`ptrace.tracee.ancestors.pid`	プロセスのプロセス ID (スレッドグループ ID とも呼ばれる)
`ptrace.tracee.ancestors.ppid`	親プロセス ID
`ptrace.tracee.ancestors.tid`	スレッドのスレッド ID
`ptrace.tracee.ancestors.tty_name`	プロセスに関連する TTY の名前
`ptrace.tracee.ancestors.uid`	プロセスの UID
`ptrace.tracee.ancestors.user`	プロセスのユーザー
`ptrace.tracee.args`	プロセスの引数 (文字列。argv0 を除く)
`ptrace.tracee.args_flags`	プロセス引数のフラグ
`ptrace.tracee.args_options`	オプションとしてのプロセスの引数
`ptrace.tracee.args_truncated`	引数の切り捨てのインジケーター
`ptrace.tracee.argv`	プロセスの引数 (配列。argv0 を除く)
`ptrace.tracee.argv0`	プロセスの第一引数
`ptrace.tracee.cap_effective`	プロセスの有効なケイパビリティセット
`ptrace.tracee.cap_permitted`	プロセスの許可されたケイパビリティセット
`ptrace.tracee.comm`	プロセスの Comm 属性
`ptrace.tracee.container.id`	コンテナ ID
`ptrace.tracee.created_at`	プロセス作成時のタイムスタンプ
`ptrace.tracee.egid`	プロセスの有効な GID
`ptrace.tracee.egroup`	プロセスの有効なグループ
`ptrace.tracee.envp`	プロセスの環境変数
`ptrace.tracee.envs`	プロセスの環境変数名
`ptrace.tracee.envs_truncated`	環境変数の切り捨てのインジケーター
`ptrace.tracee.euid`	プロセスの有効な UID
`ptrace.tracee.euser`	プロセスの有効なユーザー
`ptrace.tracee.file.change_time`	ファイルの変更時間
`ptrace.tracee.file.filesystem`	ファイルの filesystem
`ptrace.tracee.file.gid`	ファイルの所有者の GID
`ptrace.tracee.file.group`	ファイルの所有者のグループ
`ptrace.tracee.file.hashes`	[実験] このファイルに対して計算された暗号ハッシュのリスト
`ptrace.tracee.file.in_upper_layer`	ファイルレイヤーのインジケーター (例えば OverlayFS の場合)
`ptrace.tracee.file.inode`	ファイルの Inode
`ptrace.tracee.file.mode`	ファイルのモード
`ptrace.tracee.file.modification_time`	ファイルの修正時間
`ptrace.tracee.file.mount_id`	ファイルのマウント ID
`ptrace.tracee.file.name`	ファイルのベース名
`ptrace.tracee.file.name.length`	対応する文字列の長さ
`ptrace.tracee.file.package.name`	[試験運用] このファイルを提供したパッケージの名前
`ptrace.tracee.file.package.source_version`	[試験運用] このファイルを提供したパッケージのソースパッケージの正式バージョン名
`ptrace.tracee.file.package.version`	[試験運用] このファイルを提供したパッケージの正式バージョン名
`ptrace.tracee.file.path`	ファイルのパス
`ptrace.tracee.file.path.length`	対応する文字列の長さ
`ptrace.tracee.file.rights`	ファイルの権限
`ptrace.tracee.file.uid`	ファイルの所有者の UID
`ptrace.tracee.file.user`	ファイルの所有者のユーザー
`ptrace.tracee.fsgid`	プロセスの FileSystem-gid
`ptrace.tracee.fsgroup`	プロセスの FileSystem-group
`ptrace.tracee.fsuid`	プロセスの FileSystem-uid
`ptrace.tracee.fsuser`	プロセスの FileSystem-user
`ptrace.tracee.gid`	プロセスの GID
`ptrace.tracee.group`	プロセスのグループ
`ptrace.tracee.interpreter.file.change_time`	ファイルの変更時間
`ptrace.tracee.interpreter.file.filesystem`	ファイルの filesystem
`ptrace.tracee.interpreter.file.gid`	ファイルの所有者の GID
`ptrace.tracee.interpreter.file.group`	ファイルの所有者のグループ
`ptrace.tracee.interpreter.file.hashes`	[実験] このファイルに対して計算された暗号ハッシュのリスト
`ptrace.tracee.interpreter.file.in_upper_layer`	ファイルレイヤーのインジケーター (例えば OverlayFS の場合)
`ptrace.tracee.interpreter.file.inode`	ファイルの Inode
`ptrace.tracee.interpreter.file.mode`	ファイルのモード
`ptrace.tracee.interpreter.file.modification_time`	ファイルの修正時間
`ptrace.tracee.interpreter.file.mount_id`	ファイルのマウント ID
`ptrace.tracee.interpreter.file.name`	ファイルのベース名
`ptrace.tracee.interpreter.file.name.length`	対応する文字列の長さ
`ptrace.tracee.interpreter.file.package.name`	[試験運用] このファイルを提供したパッケージの名前
`ptrace.tracee.interpreter.file.package.source_version`	[試験運用] このファイルを提供したパッケージのソースパッケージの正式バージョン名
`ptrace.tracee.interpreter.file.package.version`	[試験運用] このファイルを提供したパッケージの正式バージョン名
`ptrace.tracee.interpreter.file.path`	ファイルのパス
`ptrace.tracee.interpreter.file.path.length`	対応する文字列の長さ
`ptrace.tracee.interpreter.file.rights`	ファイルの権限
`ptrace.tracee.interpreter.file.uid`	ファイルの所有者の UID
`ptrace.tracee.interpreter.file.user`	ファイルの所有者のユーザー
`ptrace.tracee.is_kworker`	プロセスが kworker であるかどうかを示します
`ptrace.tracee.is_thread`	プロセスがスレッド (他のプログラムを実行していない子プロセス) とみなされているかどうかを示します
`ptrace.tracee.parent.args`	プロセスの引数 (文字列。argv0 を除く)
`ptrace.tracee.parent.args_flags`	プロセス引数のフラグ
`ptrace.tracee.parent.args_options`	オプションとしてのプロセスの引数
`ptrace.tracee.parent.args_truncated`	引数の切り捨てのインジケーター
`ptrace.tracee.parent.argv`	プロセスの引数 (配列。argv0 を除く)
`ptrace.tracee.parent.argv0`	プロセスの第一引数
`ptrace.tracee.parent.cap_effective`	プロセスの有効なケイパビリティセット
`ptrace.tracee.parent.cap_permitted`	プロセスの許可されたケイパビリティセット
`ptrace.tracee.parent.comm`	プロセスの Comm 属性
`ptrace.tracee.parent.container.id`	コンテナ ID
`ptrace.tracee.parent.created_at`	プロセス作成時のタイムスタンプ
`ptrace.tracee.parent.egid`	プロセスの有効な GID
`ptrace.tracee.parent.egroup`	プロセスの有効なグループ
`ptrace.tracee.parent.envp`	プロセスの環境変数
`ptrace.tracee.parent.envs`	プロセスの環境変数名
`ptrace.tracee.parent.envs_truncated`	環境変数の切り捨てのインジケーター
`ptrace.tracee.parent.euid`	プロセスの有効な UID
`ptrace.tracee.parent.euser`	プロセスの有効なユーザー
`ptrace.tracee.parent.file.change_time`	ファイルの変更時間
`ptrace.tracee.parent.file.filesystem`	ファイルの filesystem
`ptrace.tracee.parent.file.gid`	ファイルの所有者の GID
`ptrace.tracee.parent.file.group`	ファイルの所有者のグループ
`ptrace.tracee.parent.file.hashes`	[実験] このファイルに対して計算された暗号ハッシュのリスト
`ptrace.tracee.parent.file.in_upper_layer`	ファイルレイヤーのインジケーター (例えば OverlayFS の場合)
`ptrace.tracee.parent.file.inode`	ファイルの Inode
`ptrace.tracee.parent.file.mode`	ファイルのモード
`ptrace.tracee.parent.file.modification_time`	ファイルの修正時間
`ptrace.tracee.parent.file.mount_id`	ファイルのマウント ID
`ptrace.tracee.parent.file.name`	ファイルのベース名
`ptrace.tracee.parent.file.name.length`	対応する文字列の長さ
`ptrace.tracee.parent.file.package.name`	[試験運用] このファイルを提供したパッケージの名前
`ptrace.tracee.parent.file.package.source_version`	[試験運用] このファイルを提供したパッケージのソースパッケージの正式バージョン名
`ptrace.tracee.parent.file.package.version`	[試験運用] このファイルを提供したパッケージの正式バージョン名
`ptrace.tracee.parent.file.path`	ファイルのパス
`ptrace.tracee.parent.file.path.length`	対応する文字列の長さ
`ptrace.tracee.parent.file.rights`	ファイルの権限
`ptrace.tracee.parent.file.uid`	ファイルの所有者の UID
`ptrace.tracee.parent.file.user`	ファイルの所有者のユーザー
`ptrace.tracee.parent.fsgid`	プロセスの FileSystem-gid
`ptrace.tracee.parent.fsgroup`	プロセスの FileSystem-group
`ptrace.tracee.parent.fsuid`	プロセスの FileSystem-uid
`ptrace.tracee.parent.fsuser`	プロセスの FileSystem-user
`ptrace.tracee.parent.gid`	プロセスの GID
`ptrace.tracee.parent.group`	プロセスのグループ
`ptrace.tracee.parent.interpreter.file.change_time`	ファイルの変更時間
`ptrace.tracee.parent.interpreter.file.filesystem`	ファイルの filesystem
`ptrace.tracee.parent.interpreter.file.gid`	ファイルの所有者の GID
`ptrace.tracee.parent.interpreter.file.group`	ファイルの所有者のグループ
`ptrace.tracee.parent.interpreter.file.hashes`	[実験] このファイルに対して計算された暗号ハッシュのリスト
`ptrace.tracee.parent.interpreter.file.in_upper_layer`	ファイルレイヤーのインジケーター (例えば OverlayFS の場合)
`ptrace.tracee.parent.interpreter.file.inode`	ファイルの Inode
`ptrace.tracee.parent.interpreter.file.mode`	ファイルのモード
`ptrace.tracee.parent.interpreter.file.modification_time`	ファイルの修正時間
`ptrace.tracee.parent.interpreter.file.mount_id`	ファイルのマウント ID
`ptrace.tracee.parent.interpreter.file.name`	ファイルのベース名
`ptrace.tracee.parent.interpreter.file.name.length`	対応する文字列の長さ
`ptrace.tracee.parent.interpreter.file.package.name`	[試験運用] このファイルを提供したパッケージの名前
`ptrace.tracee.parent.interpreter.file.package.source_version`	[試験運用] このファイルを提供したパッケージのソースパッケージの正式バージョン名
`ptrace.tracee.parent.interpreter.file.package.version`	[試験運用] このファイルを提供したパッケージの正式バージョン名
`ptrace.tracee.parent.interpreter.file.path`	ファイルのパス
`ptrace.tracee.parent.interpreter.file.path.length`	対応する文字列の長さ
`ptrace.tracee.parent.interpreter.file.rights`	ファイルの権限
`ptrace.tracee.parent.interpreter.file.uid`	ファイルの所有者の UID
`ptrace.tracee.parent.interpreter.file.user`	ファイルの所有者のユーザー
`ptrace.tracee.parent.is_kworker`	プロセスが kworker であるかどうかを示します
`ptrace.tracee.parent.is_thread`	プロセスがスレッド (他のプログラムを実行していない子プロセス) とみなされているかどうかを示します
`ptrace.tracee.parent.pid`	プロセスのプロセス ID (スレッドグループ ID とも呼ばれる)
`ptrace.tracee.parent.ppid`	親プロセス ID
`ptrace.tracee.parent.tid`	スレッドのスレッド ID
`ptrace.tracee.parent.tty_name`	プロセスに関連する TTY の名前
`ptrace.tracee.parent.uid`	プロセスの UID
`ptrace.tracee.parent.user`	プロセスのユーザー
`ptrace.tracee.pid`	プロセスのプロセス ID (スレッドグループ ID とも呼ばれる)
`ptrace.tracee.ppid`	親プロセス ID
`ptrace.tracee.tid`	スレッドのスレッド ID
`ptrace.tracee.tty_name`	プロセスに関連する TTY の名前
`ptrace.tracee.uid`	プロセスの UID
`ptrace.tracee.user`	プロセスのユーザー

イベント `removexattr`

拡張属性を削除する

プロパティ	定義
`removexattr.file.change_time`	ファイルの変更時間
`removexattr.file.destination.name`	拡張属性の名前
`removexattr.file.destination.namespace`	拡張属性のネームスペース
`removexattr.file.filesystem`	ファイルの filesystem
`removexattr.file.gid`	ファイルの所有者の GID
`removexattr.file.group`	ファイルの所有者のグループ
`removexattr.file.hashes`	[実験] このファイルに対して計算された暗号ハッシュのリスト
`removexattr.file.in_upper_layer`	ファイルレイヤーのインジケーター (例えば OverlayFS の場合)
`removexattr.file.inode`	ファイルの Inode
`removexattr.file.mode`	ファイルのモード
`removexattr.file.modification_time`	ファイルの修正時間
`removexattr.file.mount_id`	ファイルのマウント ID
`removexattr.file.name`	ファイルのベース名
`removexattr.file.name.length`	対応する文字列の長さ
`removexattr.file.package.name`	[試験運用] このファイルを提供したパッケージの名前
`removexattr.file.package.source_version`	[試験運用] このファイルを提供したパッケージのソースパッケージの正式バージョン名
`removexattr.file.package.version`	[試験運用] このファイルを提供したパッケージの正式バージョン名
`removexattr.file.path`	ファイルのパス
`removexattr.file.path.length`	対応する文字列の長さ
`removexattr.file.rights`	ファイルの権限
`removexattr.file.uid`	ファイルの所有者の UID
`removexattr.file.user`	ファイルの所有者のユーザー
`removexattr.retval`	syscall の戻り値

イベント `rename`

ファイル/ディレクトリの名前が変更された

プロパティ	定義
`rename.file.change_time`	ファイルの変更時間
`rename.file.destination.change_time`	ファイルの変更時間
`rename.file.destination.filesystem`	ファイルの filesystem
`rename.file.destination.gid`	ファイルの所有者の GID
`rename.file.destination.group`	ファイルの所有者のグループ
`rename.file.destination.hashes`	[実験] このファイルに対して計算された暗号ハッシュのリスト
`rename.file.destination.in_upper_layer`	ファイルレイヤーのインジケーター (例えば OverlayFS の場合)
`rename.file.destination.inode`	ファイルの Inode
`rename.file.destination.mode`	ファイルのモード
`rename.file.destination.modification_time`	ファイルの修正時間
`rename.file.destination.mount_id`	ファイルのマウント ID
`rename.file.destination.name`	ファイルのベース名
`rename.file.destination.name.length`	対応する文字列の長さ
`rename.file.destination.package.name`	[試験運用] このファイルを提供したパッケージの名前
`rename.file.destination.package.source_version`	[試験運用] このファイルを提供したパッケージのソースパッケージの正式バージョン名
`rename.file.destination.package.version`	[試験運用] このファイルを提供したパッケージの正式バージョン名
`rename.file.destination.path`	ファイルのパス
`rename.file.destination.path.length`	対応する文字列の長さ
`rename.file.destination.rights`	ファイルの権限
`rename.file.destination.uid`	ファイルの所有者の UID
`rename.file.destination.user`	ファイルの所有者のユーザー
`rename.file.filesystem`	ファイルの filesystem
`rename.file.gid`	ファイルの所有者の GID
`rename.file.group`	ファイルの所有者のグループ
`rename.file.hashes`	[実験] このファイルに対して計算された暗号ハッシュのリスト
`rename.file.in_upper_layer`	ファイルレイヤーのインジケーター (例えば OverlayFS の場合)
`rename.file.inode`	ファイルの Inode
`rename.file.mode`	ファイルのモード
`rename.file.modification_time`	ファイルの修正時間
`rename.file.mount_id`	ファイルのマウント ID
`rename.file.name`	ファイルのベース名
`rename.file.name.length`	対応する文字列の長さ
`rename.file.package.name`	[試験運用] このファイルを提供したパッケージの名前
`rename.file.package.source_version`	[試験運用] このファイルを提供したパッケージのソースパッケージの正式バージョン名
`rename.file.package.version`	[試験運用] このファイルを提供したパッケージの正式バージョン名
`rename.file.path`	ファイルのパス
`rename.file.path.length`	対応する文字列の長さ
`rename.file.rights`	ファイルの権限
`rename.file.uid`	ファイルの所有者の UID
`rename.file.user`	ファイルの所有者のユーザー
`rename.retval`	syscall の戻り値

イベント `rmdir`

ディレクトリが削除された

プロパティ	定義
`rmdir.file.change_time`	ファイルの変更時間
`rmdir.file.filesystem`	ファイルの filesystem
`rmdir.file.gid`	ファイルの所有者の GID
`rmdir.file.group`	ファイルの所有者のグループ
`rmdir.file.hashes`	[実験] このファイルに対して計算された暗号ハッシュのリスト
`rmdir.file.in_upper_layer`	ファイルレイヤーのインジケーター (例えば OverlayFS の場合)
`rmdir.file.inode`	ファイルの Inode
`rmdir.file.mode`	ファイルのモード
`rmdir.file.modification_time`	ファイルの修正時間
`rmdir.file.mount_id`	ファイルのマウント ID
`rmdir.file.name`	ファイルのベース名
`rmdir.file.name.length`	対応する文字列の長さ
`rmdir.file.package.name`	[試験運用] このファイルを提供したパッケージの名前
`rmdir.file.package.source_version`	[試験運用] このファイルを提供したパッケージのソースパッケージの正式バージョン名
`rmdir.file.package.version`	[試験運用] このファイルを提供したパッケージの正式バージョン名
`rmdir.file.path`	ファイルのパス
`rmdir.file.path.length`	対応する文字列の長さ
`rmdir.file.rights`	ファイルの権限
`rmdir.file.uid`	ファイルの所有者の UID
`rmdir.file.user`	ファイルの所有者のユーザー
`rmdir.retval`	syscall の戻り値

イベント `selinux`

SELinux 操作が実行された

プロパティ	定義
`selinux.bool.name`	SELinux ブール値名
`selinux.bool.state`	SELinux のブール値の新しい値
`selinux.bool_commit.state`	SELinux のブールコミット演算のインジケーター
`selinux.enforce.status`	SELinux の実行ステータス (“enforcing”、“permissive”、“disabled” のいずれか 1 つ)

イベント `setgid`

あるプロセスが有効な gid を変更した

プロパティ	定義
`setgid.egid`	プロセスの新しい有効な GID
`setgid.egroup`	プロセスの新しい有効なグループ
`setgid.fsgid`	プロセスの新しい FileSystem GID
`setgid.fsgroup`	プロセスの新しい FileSystem グループ
`setgid.gid`	プロセスの新しい GID
`setgid.group`	プロセスの新しいグループ

イベント `setuid`

あるプロセスが有効な uid を変更した

プロパティ	定義
`setuid.euid`	プロセスの新しい有効な UID
`setuid.euser`	プロセスの新しい有効なユーザー
`setuid.fsuid`	プロセスの新しい FileSystem UID
`setuid.fsuser`	プロセスの新しい FileSystem ユーザー
`setuid.uid`	プロセスの新しい UID
`setuid.user`	プロセスの新しいユーザー

イベント `setxattr`

拡張属性を設定する

プロパティ	定義
`setxattr.file.change_time`	ファイルの変更時間
`setxattr.file.destination.name`	拡張属性の名前
`setxattr.file.destination.namespace`	拡張属性のネームスペース
`setxattr.file.filesystem`	ファイルの filesystem
`setxattr.file.gid`	ファイルの所有者の GID
`setxattr.file.group`	ファイルの所有者のグループ
`setxattr.file.hashes`	[実験] このファイルに対して計算された暗号ハッシュのリスト
`setxattr.file.in_upper_layer`	ファイルレイヤーのインジケーター (例えば OverlayFS の場合)
`setxattr.file.inode`	ファイルの Inode
`setxattr.file.mode`	ファイルのモード
`setxattr.file.modification_time`	ファイルの修正時間
`setxattr.file.mount_id`	ファイルのマウント ID
`setxattr.file.name`	ファイルのベース名
`setxattr.file.name.length`	対応する文字列の長さ
`setxattr.file.package.name`	[試験運用] このファイルを提供したパッケージの名前
`setxattr.file.package.source_version`	[試験運用] このファイルを提供したパッケージのソースパッケージの正式バージョン名
`setxattr.file.package.version`	[試験運用] このファイルを提供したパッケージの正式バージョン名
`setxattr.file.path`	ファイルのパス
`setxattr.file.path.length`	対応する文字列の長さ
`setxattr.file.rights`	ファイルの権限
`setxattr.file.uid`	ファイルの所有者の UID
`setxattr.file.user`	ファイルの所有者のユーザー
`setxattr.retval`	syscall の戻り値

イベント `signal`

シグナルが送信された

プロパティ	定義
`signal.pid`	ターゲット PID
`signal.retval`	syscall の戻り値
`signal.target.ancestors.args`	プロセスの引数 (文字列。argv0 を除く)
`signal.target.ancestors.args_flags`	プロセス引数のフラグ
`signal.target.ancestors.args_options`	オプションとしてのプロセスの引数
`signal.target.ancestors.args_truncated`	引数の切り捨てのインジケーター
`signal.target.ancestors.argv`	プロセスの引数 (配列。argv0 を除く)
`signal.target.ancestors.argv0`	プロセスの第一引数
`signal.target.ancestors.cap_effective`	プロセスの有効なケイパビリティセット
`signal.target.ancestors.cap_permitted`	プロセスの許可されたケイパビリティセット
`signal.target.ancestors.comm`	プロセスの Comm 属性
`signal.target.ancestors.container.id`	コンテナ ID
`signal.target.ancestors.created_at`	プロセス作成時のタイムスタンプ
`signal.target.ancestors.egid`	プロセスの有効な GID
`signal.target.ancestors.egroup`	プロセスの有効なグループ
`signal.target.ancestors.envp`	プロセスの環境変数
`signal.target.ancestors.envs`	プロセスの環境変数名
`signal.target.ancestors.envs_truncated`	環境変数の切り捨てのインジケーター
`signal.target.ancestors.euid`	プロセスの有効な UID
`signal.target.ancestors.euser`	プロセスの有効なユーザー
`signal.target.ancestors.file.change_time`	ファイルの変更時間
`signal.target.ancestors.file.filesystem`	ファイルの filesystem
`signal.target.ancestors.file.gid`	ファイルの所有者の GID
`signal.target.ancestors.file.group`	ファイルの所有者のグループ
`signal.target.ancestors.file.hashes`	[実験] このファイルに対して計算された暗号ハッシュのリスト
`signal.target.ancestors.file.in_upper_layer`	ファイルレイヤーのインジケーター (例えば OverlayFS の場合)
`signal.target.ancestors.file.inode`	ファイルの Inode
`signal.target.ancestors.file.mode`	ファイルのモード
`signal.target.ancestors.file.modification_time`	ファイルの修正時間
`signal.target.ancestors.file.mount_id`	ファイルのマウント ID
`signal.target.ancestors.file.name`	ファイルのベース名
`signal.target.ancestors.file.name.length`	対応する文字列の長さ
`signal.target.ancestors.file.package.name`	[試験運用] このファイルを提供したパッケージの名前
`signal.target.ancestors.file.package.source_version`	[試験運用] このファイルを提供したパッケージのソースパッケージの正式バージョン名
`signal.target.ancestors.file.package.version`	[試験運用] このファイルを提供したパッケージの正式バージョン名
`signal.target.ancestors.file.path`	ファイルのパス
`signal.target.ancestors.file.path.length`	対応する文字列の長さ
`signal.target.ancestors.file.rights`	ファイルの権限
`signal.target.ancestors.file.uid`	ファイルの所有者の UID
`signal.target.ancestors.file.user`	ファイルの所有者のユーザー
`signal.target.ancestors.fsgid`	プロセスの FileSystem-gid
`signal.target.ancestors.fsgroup`	プロセスの FileSystem-group
`signal.target.ancestors.fsuid`	プロセスの FileSystem-uid
`signal.target.ancestors.fsuser`	プロセスの FileSystem-user
`signal.target.ancestors.gid`	プロセスの GID
`signal.target.ancestors.group`	プロセスのグループ
`signal.target.ancestors.interpreter.file.change_time`	ファイルの変更時間
`signal.target.ancestors.interpreter.file.filesystem`	ファイルの filesystem
`signal.target.ancestors.interpreter.file.gid`	ファイルの所有者の GID
`signal.target.ancestors.interpreter.file.group`	ファイルの所有者のグループ
`signal.target.ancestors.interpreter.file.hashes`	[実験] このファイルに対して計算された暗号ハッシュのリスト
`signal.target.ancestors.interpreter.file.in_upper_layer`	ファイルレイヤーのインジケーター (例えば OverlayFS の場合)
`signal.target.ancestors.interpreter.file.inode`	ファイルの Inode
`signal.target.ancestors.interpreter.file.mode`	ファイルのモード
`signal.target.ancestors.interpreter.file.modification_time`	ファイルの修正時間
`signal.target.ancestors.interpreter.file.mount_id`	ファイルのマウント ID
`signal.target.ancestors.interpreter.file.name`	ファイルのベース名
`signal.target.ancestors.interpreter.file.name.length`	対応する文字列の長さ
`signal.target.ancestors.interpreter.file.package.name`	[試験運用] このファイルを提供したパッケージの名前
`signal.target.ancestors.interpreter.file.package.source_version`	[試験運用] このファイルを提供したパッケージのソースパッケージの正式バージョン名
`signal.target.ancestors.interpreter.file.package.version`	[試験運用] このファイルを提供したパッケージの正式バージョン名
`signal.target.ancestors.interpreter.file.path`	ファイルのパス
`signal.target.ancestors.interpreter.file.path.length`	対応する文字列の長さ
`signal.target.ancestors.interpreter.file.rights`	ファイルの権限
`signal.target.ancestors.interpreter.file.uid`	ファイルの所有者の UID
`signal.target.ancestors.interpreter.file.user`	ファイルの所有者のユーザー
`signal.target.ancestors.is_kworker`	プロセスが kworker であるかどうかを示します
`signal.target.ancestors.is_thread`	プロセスがスレッド (他のプログラムを実行していない子プロセス) とみなされているかどうかを示します
`signal.target.ancestors.pid`	プロセスのプロセス ID (スレッドグループ ID とも呼ばれる)
`signal.target.ancestors.ppid`	親プロセス ID
`signal.target.ancestors.tid`	スレッドのスレッド ID
`signal.target.ancestors.tty_name`	プロセスに関連する TTY の名前
`signal.target.ancestors.uid`	プロセスの UID
`signal.target.ancestors.user`	プロセスのユーザー
`signal.target.args`	プロセスの引数 (文字列。argv0 を除く)
`signal.target.args_flags`	プロセス引数のフラグ
`signal.target.args_options`	オプションとしてのプロセスの引数
`signal.target.args_truncated`	引数の切り捨てのインジケーター
`signal.target.argv`	プロセスの引数 (配列。argv0 を除く)
`signal.target.argv0`	プロセスの第一引数
`signal.target.cap_effective`	プロセスの有効なケイパビリティセット
`signal.target.cap_permitted`	プロセスの許可されたケイパビリティセット
`signal.target.comm`	プロセスの Comm 属性
`signal.target.container.id`	コンテナ ID
`signal.target.created_at`	プロセス作成時のタイムスタンプ
`signal.target.egid`	プロセスの有効な GID
`signal.target.egroup`	プロセスの有効なグループ
`signal.target.envp`	プロセスの環境変数
`signal.target.envs`	プロセスの環境変数名
`signal.target.envs_truncated`	環境変数の切り捨てのインジケーター
`signal.target.euid`	プロセスの有効な UID
`signal.target.euser`	プロセスの有効なユーザー
`signal.target.file.change_time`	ファイルの変更時間
`signal.target.file.filesystem`	ファイルの filesystem
`signal.target.file.gid`	ファイルの所有者の GID
`signal.target.file.group`	ファイルの所有者のグループ
`signal.target.file.hashes`	[実験] このファイルに対して計算された暗号ハッシュのリスト
`signal.target.file.in_upper_layer`	ファイルレイヤーのインジケーター (例えば OverlayFS の場合)
`signal.target.file.inode`	ファイルの Inode
`signal.target.file.mode`	ファイルのモード
`signal.target.file.modification_time`	ファイルの修正時間
`signal.target.file.mount_id`	ファイルのマウント ID
`signal.target.file.name`	ファイルのベース名
`signal.target.file.name.length`	対応する文字列の長さ
`signal.target.file.package.name`	[試験運用] このファイルを提供したパッケージの名前
`signal.target.file.package.source_version`	[試験運用] このファイルを提供したパッケージのソースパッケージの正式バージョン名
`signal.target.file.package.version`	[試験運用] このファイルを提供したパッケージの正式バージョン名
`signal.target.file.path`	ファイルのパス
`signal.target.file.path.length`	対応する文字列の長さ
`signal.target.file.rights`	ファイルの権限
`signal.target.file.uid`	ファイルの所有者の UID
`signal.target.file.user`	ファイルの所有者のユーザー
`signal.target.fsgid`	プロセスの FileSystem-gid
`signal.target.fsgroup`	プロセスの FileSystem-group
`signal.target.fsuid`	プロセスの FileSystem-uid
`signal.target.fsuser`	プロセスの FileSystem-user
`signal.target.gid`	プロセスの GID
`signal.target.group`	プロセスのグループ
`signal.target.interpreter.file.change_time`	ファイルの変更時間
`signal.target.interpreter.file.filesystem`	ファイルの filesystem
`signal.target.interpreter.file.gid`	ファイルの所有者の GID
`signal.target.interpreter.file.group`	ファイルの所有者のグループ
`signal.target.interpreter.file.hashes`	[実験] このファイルに対して計算された暗号ハッシュのリスト
`signal.target.interpreter.file.in_upper_layer`	ファイルレイヤーのインジケーター (例えば OverlayFS の場合)
`signal.target.interpreter.file.inode`	ファイルの Inode
`signal.target.interpreter.file.mode`	ファイルのモード
`signal.target.interpreter.file.modification_time`	ファイルの修正時間
`signal.target.interpreter.file.mount_id`	ファイルのマウント ID
`signal.target.interpreter.file.name`	ファイルのベース名
`signal.target.interpreter.file.name.length`	対応する文字列の長さ
`signal.target.interpreter.file.package.name`	[試験運用] このファイルを提供したパッケージの名前
`signal.target.interpreter.file.package.source_version`	[試験運用] このファイルを提供したパッケージのソースパッケージの正式バージョン名
`signal.target.interpreter.file.package.version`	[試験運用] このファイルを提供したパッケージの正式バージョン名
`signal.target.interpreter.file.path`	ファイルのパス
`signal.target.interpreter.file.path.length`	対応する文字列の長さ
`signal.target.interpreter.file.rights`	ファイルの権限
`signal.target.interpreter.file.uid`	ファイルの所有者の UID
`signal.target.interpreter.file.user`	ファイルの所有者のユーザー
`signal.target.is_kworker`	プロセスが kworker であるかどうかを示します
`signal.target.is_thread`	プロセスがスレッド (他のプログラムを実行していない子プロセス) とみなされているかどうかを示します
`signal.target.parent.args`	プロセスの引数 (文字列。argv0 を除く)
`signal.target.parent.args_flags`	プロセス引数のフラグ
`signal.target.parent.args_options`	オプションとしてのプロセスの引数
`signal.target.parent.args_truncated`	引数の切り捨てのインジケーター
`signal.target.parent.argv`	プロセスの引数 (配列。argv0 を除く)
`signal.target.parent.argv0`	プロセスの第一引数
`signal.target.parent.cap_effective`	プロセスの有効なケイパビリティセット
`signal.target.parent.cap_permitted`	プロセスの許可されたケイパビリティセット
`signal.target.parent.comm`	プロセスの Comm 属性
`signal.target.parent.container.id`	コンテナ ID
`signal.target.parent.created_at`	プロセス作成時のタイムスタンプ
`signal.target.parent.egid`	プロセスの有効な GID
`signal.target.parent.egroup`	プロセスの有効なグループ
`signal.target.parent.envp`	プロセスの環境変数
`signal.target.parent.envs`	プロセスの環境変数名
`signal.target.parent.envs_truncated`	環境変数の切り捨てのインジケーター
`signal.target.parent.euid`	プロセスの有効な UID
`signal.target.parent.euser`	プロセスの有効なユーザー
`signal.target.parent.file.change_time`	ファイルの変更時間
`signal.target.parent.file.filesystem`	ファイルの filesystem
`signal.target.parent.file.gid`	ファイルの所有者の GID
`signal.target.parent.file.group`	ファイルの所有者のグループ
`signal.target.parent.file.hashes`	[実験] このファイルに対して計算された暗号ハッシュのリスト
`signal.target.parent.file.in_upper_layer`	ファイルレイヤーのインジケーター (例えば OverlayFS の場合)
`signal.target.parent.file.inode`	ファイルの Inode
`signal.target.parent.file.mode`	ファイルのモード
`signal.target.parent.file.modification_time`	ファイルの修正時間
`signal.target.parent.file.mount_id`	ファイルのマウント ID
`signal.target.parent.file.name`	ファイルのベース名
`signal.target.parent.file.name.length`	対応する文字列の長さ
`signal.target.parent.file.package.name`	[試験運用] このファイルを提供したパッケージの名前
`signal.target.parent.file.package.source_version`	[試験運用] このファイルを提供したパッケージのソースパッケージの正式バージョン名
`signal.target.parent.file.package.version`	[試験運用] このファイルを提供したパッケージの正式バージョン名
`signal.target.parent.file.path`	ファイルのパス
`signal.target.parent.file.path.length`	対応する文字列の長さ
`signal.target.parent.file.rights`	ファイルの権限
`signal.target.parent.file.uid`	ファイルの所有者の UID
`signal.target.parent.file.user`	ファイルの所有者のユーザー
`signal.target.parent.fsgid`	プロセスの FileSystem-gid
`signal.target.parent.fsgroup`	プロセスの FileSystem-group
`signal.target.parent.fsuid`	プロセスの FileSystem-uid
`signal.target.parent.fsuser`	プロセスの FileSystem-user
`signal.target.parent.gid`	プロセスの GID
`signal.target.parent.group`	プロセスのグループ
`signal.target.parent.interpreter.file.change_time`	ファイルの変更時間
`signal.target.parent.interpreter.file.filesystem`	ファイルの filesystem
`signal.target.parent.interpreter.file.gid`	ファイルの所有者の GID
`signal.target.parent.interpreter.file.group`	ファイルの所有者のグループ
`signal.target.parent.interpreter.file.hashes`	[実験] このファイルに対して計算された暗号ハッシュのリスト
`signal.target.parent.interpreter.file.in_upper_layer`	ファイルレイヤーのインジケーター (例えば OverlayFS の場合)
`signal.target.parent.interpreter.file.inode`	ファイルの Inode
`signal.target.parent.interpreter.file.mode`	ファイルのモード
`signal.target.parent.interpreter.file.modification_time`	ファイルの修正時間
`signal.target.parent.interpreter.file.mount_id`	ファイルのマウント ID
`signal.target.parent.interpreter.file.name`	ファイルのベース名
`signal.target.parent.interpreter.file.name.length`	対応する文字列の長さ
`signal.target.parent.interpreter.file.package.name`	[試験運用] このファイルを提供したパッケージの名前
`signal.target.parent.interpreter.file.package.source_version`	[試験運用] このファイルを提供したパッケージのソースパッケージの正式バージョン名
`signal.target.parent.interpreter.file.package.version`	[試験運用] このファイルを提供したパッケージの正式バージョン名
`signal.target.parent.interpreter.file.path`	ファイルのパス
`signal.target.parent.interpreter.file.path.length`	対応する文字列の長さ
`signal.target.parent.interpreter.file.rights`	ファイルの権限
`signal.target.parent.interpreter.file.uid`	ファイルの所有者の UID
`signal.target.parent.interpreter.file.user`	ファイルの所有者のユーザー
`signal.target.parent.is_kworker`	プロセスが kworker であるかどうかを示します
`signal.target.parent.is_thread`	プロセスがスレッド (他のプログラムを実行していない子プロセス) とみなされているかどうかを示します
`signal.target.parent.pid`	プロセスのプロセス ID (スレッドグループ ID とも呼ばれる)
`signal.target.parent.ppid`	親プロセス ID
`signal.target.parent.tid`	スレッドのスレッド ID
`signal.target.parent.tty_name`	プロセスに関連する TTY の名前
`signal.target.parent.uid`	プロセスの UID
`signal.target.parent.user`	プロセスのユーザー
`signal.target.pid`	プロセスのプロセス ID (スレッドグループ ID とも呼ばれる)
`signal.target.ppid`	親プロセス ID
`signal.target.tid`	スレッドのスレッド ID
`signal.target.tty_name`	プロセスに関連する TTY の名前
`signal.target.uid`	プロセスの UID
`signal.target.user`	プロセスのユーザー
`signal.type`	シグナルの種類 (例: SIGHUP、SIGINT、SIGQUIT など)

イベント `splice`

splice コマンドが実行された

プロパティ	定義
`splice.file.change_time`	ファイルの変更時間
`splice.file.filesystem`	ファイルの filesystem
`splice.file.gid`	ファイルの所有者の GID
`splice.file.group`	ファイルの所有者のグループ
`splice.file.hashes`	[実験] このファイルに対して計算された暗号ハッシュのリスト
`splice.file.in_upper_layer`	ファイルレイヤーのインジケーター (例えば OverlayFS の場合)
`splice.file.inode`	ファイルの Inode
`splice.file.mode`	ファイルのモード
`splice.file.modification_time`	ファイルの修正時間
`splice.file.mount_id`	ファイルのマウント ID
`splice.file.name`	ファイルのベース名
`splice.file.name.length`	対応する文字列の長さ
`splice.file.package.name`	[試験運用] このファイルを提供したパッケージの名前
`splice.file.package.source_version`	[試験運用] このファイルを提供したパッケージのソースパッケージの正式バージョン名
`splice.file.package.version`	[試験運用] このファイルを提供したパッケージの正式バージョン名
`splice.file.path`	ファイルのパス
`splice.file.path.length`	対応する文字列の長さ
`splice.file.rights`	ファイルの権限
`splice.file.uid`	ファイルの所有者の UID
`splice.file.user`	ファイルの所有者のユーザー
`splice.pipe_entry_flag`	splice syscall に渡された “fd_out” パイプのエントリフラグ
`splice.pipe_exit_flag`	splice syscall に渡された “fd_out” パイプの終了フラグ
`splice.retval`	syscall の戻り値

イベント `unlink`

ファイルが削除された

プロパティ	定義
`unlink.file.change_time`	ファイルの変更時間
`unlink.file.filesystem`	ファイルの filesystem
`unlink.file.gid`	ファイルの所有者の GID
`unlink.file.group`	ファイルの所有者のグループ
`unlink.file.hashes`	[実験] このファイルに対して計算された暗号ハッシュのリスト
`unlink.file.in_upper_layer`	ファイルレイヤーのインジケーター (例えば OverlayFS の場合)
`unlink.file.inode`	ファイルの Inode
`unlink.file.mode`	ファイルのモード
`unlink.file.modification_time`	ファイルの修正時間
`unlink.file.mount_id`	ファイルのマウント ID
`unlink.file.name`	ファイルのベース名
`unlink.file.name.length`	対応する文字列の長さ
`unlink.file.package.name`	[試験運用] このファイルを提供したパッケージの名前
`unlink.file.package.source_version`	[試験運用] このファイルを提供したパッケージのソースパッケージの正式バージョン名
`unlink.file.package.version`	[試験運用] このファイルを提供したパッケージの正式バージョン名
`unlink.file.path`	ファイルのパス
`unlink.file.path.length`	対応する文字列の長さ
`unlink.file.rights`	ファイルの権限
`unlink.file.uid`	ファイルの所有者の UID
`unlink.file.user`	ファイルの所有者のユーザー
`unlink.flags`	アンリンク syscall のフラグ
`unlink.retval`	syscall の戻り値

イベント `unload_module`

カーネルモジュールが削除された

プロパティ	定義
`unload_module.name`	削除されたカーネルモジュールの名前
`unload_module.retval`	syscall の戻り値

イベント `utimes`

ファイルのアクセス/変更時間を変更する

プロパティ	定義
`utimes.file.change_time`	ファイルの変更時間
`utimes.file.filesystem`	ファイルの filesystem
`utimes.file.gid`	ファイルの所有者の GID
`utimes.file.group`	ファイルの所有者のグループ
`utimes.file.hashes`	[実験] このファイルに対して計算された暗号ハッシュのリスト
`utimes.file.in_upper_layer`	ファイルレイヤーのインジケーター (例えば OverlayFS の場合)
`utimes.file.inode`	ファイルの Inode
`utimes.file.mode`	ファイルのモード
`utimes.file.modification_time`	ファイルの修正時間
`utimes.file.mount_id`	ファイルのマウント ID
`utimes.file.name`	ファイルのベース名
`utimes.file.name.length`	対応する文字列の長さ
`utimes.file.package.name`	[試験運用] このファイルを提供したパッケージの名前
`utimes.file.package.source_version`	[試験運用] このファイルを提供したパッケージのソースパッケージの正式バージョン名
`utimes.file.package.version`	[試験運用] このファイルを提供したパッケージの正式バージョン名
`utimes.file.path`	ファイルのパス
`utimes.file.path.length`	対応する文字列の長さ
`utimes.file.rights`	ファイルの権限
`utimes.file.uid`	ファイルの所有者の UID
`utimes.file.user`	ファイルの所有者のユーザー
`utimes.retval`	syscall の戻り値

属性ドキュメント

`*.args`

タイプ: 文字列

定義: プロセスの引数 (文字列。argv0 を除く)

*.args には 11 個のプレフィックスを付けることができます。 exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent

例:

exec.args == "-sV -p 22,53,110,143,4564 198.116.0-255.1-127"

これらの正確な引数を持つ任意のプロセスにマッチします。

例:

exec.args =~ "* -F * http*"

“http” で始まる引数の前に “-F " 引数を持つプロセスにマッチします。

`*.args_flags`

タイプ: 文字列

定義: プロセス引数のフラグ

*.args_flags には 11 個のプレフィックスを付けることができます。 exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent

例:

exec.args_flags in ["s"] && exec.args_flags in ["V"]

引数に “-s” と “-V” フラグを持つプロセスにマッチします。また、"-sV” にもマッチします。

`*.args_options`

タイプ: 文字列

定義: オプションとしてのプロセスの引数

*.args_options には 11 個のプレフィックスを付けることができます。 exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent

例:

exec.args_options in ["p=0-1024"]

引数に “-p 0-1024” または “–p=0-1024” が含まれるプロセスにマッチします。

`*.args_truncated`

タイプ: ブール

定義: 引数の切り捨てのインジケーター

*.args_truncated には 11 個のプレフィックスを付けることができます。 exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent

`*.argv`

タイプ: 文字列

定義: プロセスの引数 (配列。argv0 を除く)

*.argv には 11 個のプレフィックスを付けることができます。 exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent

例:

exec.argv in ["127.0.0.1"]

この IP アドレスを引数の 1 つとして持つすべてのプロセスにマッチします。

`*.argv0`

タイプ: 文字列

定義: プロセスの第一引数

*.argv0 には 11 個のプレフィックスを付けることができます。 exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent

`*.cap_effective`

タイプ: 整数

定義: プロセスの有効なケイパビリティセット

*.cap_effective には 11 個のプレフィックスを付けることができます。 exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent

定数: カーネルケイパビリティ定数

`*.cap_permitted`

タイプ: 整数

定義: プロセスの許可されたケイパビリティセット

*.cap_permitted には 11 個のプレフィックスを付けることができます。 exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent

定数: カーネルケイパビリティ定数

`*.change_time`

タイプ: 整数

定義: ファイルの変更時間

*.change_time には 38 個のプレフィックスを付けることができます。 chmod.file chown.file exec.file exec.interpreter.file exit.file exit.interpreter.file link.file link.file.destination load_module.file mkdir.file mmap.file open.file process.ancestors.file process.ancestors.interpreter.file process.file process.interpreter.file process.parent.file process.parent.interpreter.file ptrace.tracee.ancestors.file ptrace.tracee.ancestors.interpreter.file ptrace.tracee.file ptrace.tracee.interpreter.file ptrace.tracee.parent.file ptrace.tracee.parent.interpreter.file removexattr.file rename.file rename.file.destination rmdir.file setxattr.file signal.target.ancestors.file signal.target.ancestors.interpreter.file signal.target.file signal.target.interpreter.file signal.target.parent.file signal.target.parent.interpreter.file splice.file unlink.file utimes.file

`*.comm`

タイプ: 文字列

定義: プロセスの Comm 属性

*.comm には 11 個のプレフィックスを付けることができます。 exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent

`*.container.id`

タイプ: 文字列

定義: コンテナ ID

*.container.id には 11 個のプレフィックスを付けることができます。 exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent

`*.created_at`

タイプ: 整数

定義: プロセス作成時のタイムスタンプ

*.created_at には 11 個のプレフィックスを付けることができます。 exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent

`*.egid`

タイプ: 整数

定義: プロセスの有効な GID

*.egid には 11 個のプレフィックスを付けることができます。 exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent

`*.egroup`

タイプ: 文字列

定義: プロセスの有効なグループ

*.egroup には 11 個のプレフィックスを付けることができます。 exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent

`*.envp`

タイプ: 文字列

定義: プロセスの環境変数

*.envp には 11 個のプレフィックスを付けることができます。 exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent

`*.envs`

タイプ: 文字列

定義: プロセスの環境変数名

*.envs には 11 個のプレフィックスを付けることができます。 exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent

`*.envs_truncated`

タイプ: ブール

定義: 環境変数の切り捨てのインジケーター

*.envs_truncated には 11 個のプレフィックスを付けることができます。 exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent

`*.euid`

タイプ: 整数

定義: プロセスの有効な UID

*.euid には 11 個のプレフィックスを付けることができます。 exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent

`*.euser`

タイプ: 文字列

定義: プロセスの有効なユーザー

*.euser には 11 個のプレフィックスを付けることができます。 exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent

`*.file.destination.name`

タイプ: 文字列

定義: 拡張属性の名前

*.file.destination.name には 2 個のプレフィックスを付けることができます。 removexattr setxattr

`*.file.destination.namespace`

タイプ: 文字列

定義: 拡張属性のネームスペース

*.file.destination.namespace には 2 個のプレフィックスを付けることができます。 removexattr setxattr

`*.filesystem`

タイプ: 文字列

定義: ファイルのファイルシステム

*.filesystem には 38 個のプレフィックスを付けることができます。 chmod.file chown.file exec.file exec.interpreter.file exit.file exit.interpreter.file link.file link.file.destination load_module.file mkdir.file mmap.file open.file process.ancestors.file process.ancestors.interpreter.file process.file process.interpreter.file process.parent.file process.parent.interpreter.file ptrace.tracee.ancestors.file ptrace.tracee.ancestors.interpreter.file ptrace.tracee.file ptrace.tracee.interpreter.file ptrace.tracee.parent.file ptrace.tracee.parent.interpreter.file removexattr.file rename.file rename.file.destination rmdir.file setxattr.file signal.target.ancestors.file signal.target.ancestors.interpreter.file signal.target.file signal.target.interpreter.file signal.target.parent.file signal.target.parent.interpreter.file splice.file unlink.file utimes.file

`*.fsgid`

タイプ: 整数

定義: プロセスの FileSystem-gid

*.fsgid には 11 個のプレフィックスを付けることができます。 exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent

`*.fsgroup`

タイプ: 文字列

定義: プロセスの FileSystem-group

*.fsgroup には 11 個のプレフィックスを付けることができます。 exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent

`*.fsuid`

タイプ: 整数

定義: プロセスの FileSystem-uid

*.fsuid には 11 個のプレフィックスを付けることができます。 exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent

`*.fsuser`

タイプ: 文字列

定義: プロセスの FileSystem-user

*.fsuser には 11 個のプレフィックスを付けることができます。 exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent

`*.gid`

タイプ: 整数

定義: プロセスの GID

*.gid には 11 個のプレフィックスを付けることができます。 exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent

`*.gid`

タイプ: 整数

定義: ファイルの所有者の GID

*.gid には 38 個のプレフィックスを付けることができます。 chmod.file chown.file exec.file exec.interpreter.file exit.file exit.interpreter.file link.file link.file.destination load_module.file mkdir.file mmap.file open.file process.ancestors.file process.ancestors.interpreter.file process.file process.interpreter.file process.parent.file process.parent.interpreter.file ptrace.tracee.ancestors.file ptrace.tracee.ancestors.interpreter.file ptrace.tracee.file ptrace.tracee.interpreter.file ptrace.tracee.parent.file ptrace.tracee.parent.interpreter.file removexattr.file rename.file rename.file.destination rmdir.file setxattr.file signal.target.ancestors.file signal.target.ancestors.interpreter.file signal.target.file signal.target.interpreter.file signal.target.parent.file signal.target.parent.interpreter.file splice.file unlink.file utimes.file

`*.group`

タイプ: 文字列

定義: プロセスのグループ

*.group には 11 個のプレフィックスを付けることができます。 exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent

`*.group`

タイプ: 文字列

定義: ファイルの所有者のグループ

*.group には 38 個のプレフィックスを付けることができます。 chmod.file chown.file exec.file exec.interpreter.file exit.file exit.interpreter.file link.file link.file.destination load_module.file mkdir.file mmap.file open.file process.ancestors.file process.ancestors.interpreter.file process.file process.interpreter.file process.parent.file process.parent.interpreter.file ptrace.tracee.ancestors.file ptrace.tracee.ancestors.interpreter.file ptrace.tracee.file ptrace.tracee.interpreter.file ptrace.tracee.parent.file ptrace.tracee.parent.interpreter.file removexattr.file rename.file rename.file.destination rmdir.file setxattr.file signal.target.ancestors.file signal.target.ancestors.interpreter.file signal.target.file signal.target.interpreter.file signal.target.parent.file signal.target.parent.interpreter.file splice.file unlink.file utimes.file

`*.hashes`

タイプ: 文字列

定義: [実験] このファイルに対して計算された暗号ハッシュのリスト

*.hashes には 38 個のプレフィックスを付けることができます。 chmod.file chown.file exec.file exec.interpreter.file exit.file exit.interpreter.file link.file link.file.destination load_module.file mkdir.file mmap.file open.file process.ancestors.file process.ancestors.interpreter.file process.file process.interpreter.file process.parent.file process.parent.interpreter.file ptrace.tracee.ancestors.file ptrace.tracee.ancestors.interpreter.file ptrace.tracee.file ptrace.tracee.interpreter.file ptrace.tracee.parent.file ptrace.tracee.parent.interpreter.file removexattr.file rename.file rename.file.destination rmdir.file setxattr.file signal.target.ancestors.file signal.target.ancestors.interpreter.file signal.target.file signal.target.interpreter.file signal.target.parent.file signal.target.parent.interpreter.file splice.file unlink.file utimes.file

`*.in_upper_layer`

タイプ: ブール

定義: ファイルレイヤーのインジケーター (例えば OverlayFS の場合)

*.in_upper_layer には 38 個のプレフィックスを付けることができます。 chmod.file chown.file exec.file exec.interpreter.file exit.file exit.interpreter.file link.file link.file.destination load_module.file mkdir.file mmap.file open.file process.ancestors.file process.ancestors.interpreter.file process.file process.interpreter.file process.parent.file process.parent.interpreter.file ptrace.tracee.ancestors.file ptrace.tracee.ancestors.interpreter.file ptrace.tracee.file ptrace.tracee.interpreter.file ptrace.tracee.parent.file ptrace.tracee.parent.interpreter.file removexattr.file rename.file rename.file.destination rmdir.file setxattr.file signal.target.ancestors.file signal.target.ancestors.interpreter.file signal.target.file signal.target.interpreter.file signal.target.parent.file signal.target.parent.interpreter.file splice.file unlink.file utimes.file

`*.inode`

タイプ: 整数

定義: ファイルの Inode

*.inode には 38 個のプレフィックスを付けることができます。 chmod.file chown.file exec.file exec.interpreter.file exit.file exit.interpreter.file link.file link.file.destination load_module.file mkdir.file mmap.file open.file process.ancestors.file process.ancestors.interpreter.file process.file process.interpreter.file process.parent.file process.parent.interpreter.file ptrace.tracee.ancestors.file ptrace.tracee.ancestors.interpreter.file ptrace.tracee.file ptrace.tracee.interpreter.file ptrace.tracee.parent.file ptrace.tracee.parent.interpreter.file removexattr.file rename.file rename.file.destination rmdir.file setxattr.file signal.target.ancestors.file signal.target.ancestors.interpreter.file signal.target.file signal.target.interpreter.file signal.target.parent.file signal.target.parent.interpreter.file splice.file unlink.file utimes.file

`*.ip`

タイプ: IP/CIDR

定義: IPアドレス

*.ip には 3 個のプレフィックスを付けることができます。 bind.addr network.destination network.source

`*.is_kworker`

タイプ: ブール

定義: プロセスが kworker であるかどうかを示します

*.is_kworker には 11 個のプレフィックスを付けることができます。 exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent

`*.is_thread`

タイプ: ブール

定義: プロセスがスレッド (他のプログラムを実行していない子プロセス) とみなされているかどうかを示します

*.is_thread には 11 個のプレフィックスを付けることができます。 exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent

`*.length`

タイプ: 整数

定義: 対応する文字列の長さ

*.length には 77 個のプレフィックスを付けることができます。 chmod.file.name chmod.file.path chown.file.name chown.file.path dns.question.name exec.file.name exec.file.path exec.interpreter.file.name exec.interpreter.file.path exit.file.name exit.file.path exit.interpreter.file.name exit.interpreter.file.path link.file.destination.name link.file.destination.path link.file.name link.file.path load_module.file.name load_module.file.path mkdir.file.name mkdir.file.path mmap.file.name mmap.file.path open.file.name open.file.path process.ancestors.file.name process.ancestors.file.path process.ancestors.interpreter.file.name process.ancestors.interpreter.file.path process.file.name process.file.path process.interpreter.file.name process.interpreter.file.path process.parent.file.name process.parent.file.path process.parent.interpreter.file.name process.parent.interpreter.file.path ptrace.tracee.ancestors.file.name ptrace.tracee.ancestors.file.path ptrace.tracee.ancestors.interpreter.file.name ptrace.tracee.ancestors.interpreter.file.path ptrace.tracee.file.name ptrace.tracee.file.path ptrace.tracee.interpreter.file.name ptrace.tracee.interpreter.file.path ptrace.tracee.parent.file.name ptrace.tracee.parent.file.path ptrace.tracee.parent.interpreter.file.name ptrace.tracee.parent.interpreter.file.path removexattr.file.name removexattr.file.path rename.file.destination.name rename.file.destination.path rename.file.name rename.file.path rmdir.file.name rmdir.file.path setxattr.file.name setxattr.file.path signal.target.ancestors.file.name signal.target.ancestors.file.path signal.target.ancestors.interpreter.file.name signal.target.ancestors.interpreter.file.path signal.target.file.name signal.target.file.path signal.target.interpreter.file.name signal.target.interpreter.file.path signal.target.parent.file.name signal.target.parent.file.path signal.target.parent.interpreter.file.name signal.target.parent.interpreter.file.path splice.file.name splice.file.path unlink.file.name unlink.file.path utimes.file.name utimes.file.path

`*.mode`

タイプ: 整数

定義: ファイルのモード

*.mode には 38 個のプレフィックスを付けることができます。 chmod.file chown.file exec.file exec.interpreter.file exit.file exit.interpreter.file link.file link.file.destination load_module.file mkdir.file mmap.file open.file process.ancestors.file process.ancestors.interpreter.file process.file process.interpreter.file process.parent.file process.parent.interpreter.file ptrace.tracee.ancestors.file ptrace.tracee.ancestors.interpreter.file ptrace.tracee.file ptrace.tracee.interpreter.file ptrace.tracee.parent.file ptrace.tracee.parent.interpreter.file removexattr.file rename.file rename.file.destination rmdir.file setxattr.file signal.target.ancestors.file signal.target.ancestors.interpreter.file signal.target.file signal.target.interpreter.file signal.target.parent.file signal.target.parent.interpreter.file splice.file unlink.file utimes.file

定数: Inode モード定数

`*.modification_time`

タイプ: 整数

定義: ファイルの修正時間

*.modification_time には 38 個のプレフィックスを付けることができます。 chmod.file chown.file exec.file exec.interpreter.file exit.file exit.interpreter.file link.file link.file.destination load_module.file mkdir.file mmap.file open.file process.ancestors.file process.ancestors.interpreter.file process.file process.interpreter.file process.parent.file process.parent.interpreter.file ptrace.tracee.ancestors.file ptrace.tracee.ancestors.interpreter.file ptrace.tracee.file ptrace.tracee.interpreter.file ptrace.tracee.parent.file ptrace.tracee.parent.interpreter.file removexattr.file rename.file rename.file.destination rmdir.file setxattr.file signal.target.ancestors.file signal.target.ancestors.interpreter.file signal.target.file signal.target.interpreter.file signal.target.parent.file signal.target.parent.interpreter.file splice.file unlink.file utimes.file

`*.mount_id`

タイプ: 整数

定義: ファイルのマウント ID

*.mount_id には 38 個のプレフィックスを付けることができます。 chmod.file chown.file exec.file exec.interpreter.file exit.file exit.interpreter.file link.file link.file.destination load_module.file mkdir.file mmap.file open.file process.ancestors.file process.ancestors.interpreter.file process.file process.interpreter.file process.parent.file process.parent.interpreter.file ptrace.tracee.ancestors.file ptrace.tracee.ancestors.interpreter.file ptrace.tracee.file ptrace.tracee.interpreter.file ptrace.tracee.parent.file ptrace.tracee.parent.interpreter.file removexattr.file rename.file rename.file.destination rmdir.file setxattr.file signal.target.ancestors.file signal.target.ancestors.interpreter.file signal.target.file signal.target.interpreter.file signal.target.parent.file signal.target.parent.interpreter.file splice.file unlink.file utimes.file

`*.name`

タイプ: 文字列

定義: ファイルのベース名

*.name には 38 個のプレフィックスを付けることができます。 chmod.file chown.file exec.file exec.interpreter.file exit.file exit.interpreter.file link.file link.file.destination load_module.file mkdir.file mmap.file open.file process.ancestors.file process.ancestors.interpreter.file process.file process.interpreter.file process.parent.file process.parent.interpreter.file ptrace.tracee.ancestors.file ptrace.tracee.ancestors.interpreter.file ptrace.tracee.file ptrace.tracee.interpreter.file ptrace.tracee.parent.file ptrace.tracee.parent.interpreter.file removexattr.file rename.file rename.file.destination rmdir.file setxattr.file signal.target.ancestors.file signal.target.ancestors.interpreter.file signal.target.file signal.target.interpreter.file signal.target.parent.file signal.target.parent.interpreter.file splice.file unlink.file utimes.file

例:

exec.file.name == "apt"

apt という名前のファイルの実行にマッチします。

`*.package.name`

タイプ: 文字列

定義: [試験運用] このファイルを提供したパッケージの名前

*.package.name には 38 個のプレフィックスを付けることができます。 chmod.file chown.file exec.file exec.interpreter.file exit.file exit.interpreter.file link.file link.file.destination load_module.file mkdir.file mmap.file open.file process.ancestors.file process.ancestors.interpreter.file process.file process.interpreter.file process.parent.file process.parent.interpreter.file ptrace.tracee.ancestors.file ptrace.tracee.ancestors.interpreter.file ptrace.tracee.file ptrace.tracee.interpreter.file ptrace.tracee.parent.file ptrace.tracee.parent.interpreter.file removexattr.file rename.file rename.file.destination rmdir.file setxattr.file signal.target.ancestors.file signal.target.ancestors.interpreter.file signal.target.file signal.target.interpreter.file signal.target.parent.file signal.target.parent.interpreter.file splice.file unlink.file utimes.file

`*.package.source_version`

タイプ: 文字列

定義: [試験運用] このファイルを提供したパッケージのソースパッケージの正式バージョン名

*.package.source_version には 38 個のプレフィックスを付けることができます。 chmod.file chown.file exec.file exec.interpreter.file exit.file exit.interpreter.file link.file link.file.destination load_module.file mkdir.file mmap.file open.file process.ancestors.file process.ancestors.interpreter.file process.file process.interpreter.file process.parent.file process.parent.interpreter.file ptrace.tracee.ancestors.file ptrace.tracee.ancestors.interpreter.file ptrace.tracee.file ptrace.tracee.interpreter.file ptrace.tracee.parent.file ptrace.tracee.parent.interpreter.file removexattr.file rename.file rename.file.destination rmdir.file setxattr.file signal.target.ancestors.file signal.target.ancestors.interpreter.file signal.target.file signal.target.interpreter.file signal.target.parent.file signal.target.parent.interpreter.file splice.file unlink.file utimes.file

`*.package.version`

タイプ: 文字列

定義: [試験運用] このファイルを提供したパッケージの正式バージョン名

*.package.version には 38 個のプレフィックスを付けることができます。 chmod.file chown.file exec.file exec.interpreter.file exit.file exit.interpreter.file link.file link.file.destination load_module.file mkdir.file mmap.file open.file process.ancestors.file process.ancestors.interpreter.file process.file process.interpreter.file process.parent.file process.parent.interpreter.file ptrace.tracee.ancestors.file ptrace.tracee.ancestors.interpreter.file ptrace.tracee.file ptrace.tracee.interpreter.file ptrace.tracee.parent.file ptrace.tracee.parent.interpreter.file removexattr.file rename.file rename.file.destination rmdir.file setxattr.file signal.target.ancestors.file signal.target.ancestors.interpreter.file signal.target.file signal.target.interpreter.file signal.target.parent.file signal.target.parent.interpreter.file splice.file unlink.file utimes.file

`*.path`

タイプ: 文字列

定義: ファイルのパス

*.path には 38 個のプレフィックスを付けることができます。 chmod.file chown.file exec.file exec.interpreter.file exit.file exit.interpreter.file link.file link.file.destination load_module.file mkdir.file mmap.file open.file process.ancestors.file process.ancestors.interpreter.file process.file process.interpreter.file process.parent.file process.parent.interpreter.file ptrace.tracee.ancestors.file ptrace.tracee.ancestors.interpreter.file ptrace.tracee.file ptrace.tracee.interpreter.file ptrace.tracee.parent.file ptrace.tracee.parent.interpreter.file removexattr.file rename.file rename.file.destination rmdir.file setxattr.file signal.target.ancestors.file signal.target.ancestors.interpreter.file signal.target.file signal.target.interpreter.file signal.target.parent.file signal.target.parent.interpreter.file splice.file unlink.file utimes.file

例:

exec.file.path == "/usr/bin/apt"

usr/bin/apt にあるファイルの実行にマッチします。

例:

open.file.path == "/etc/passwd"

etc/passwd ファイルを開いているすべてのプロセスにマッチします。

`*.pid`

タイプ: 整数

定義: プロセスのプロセス ID (スレッドグループ ID とも呼ばれる)

*.pid には 11 個のプレフィックスを付けることができます。 exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent

`*.port`

タイプ: 整数

定義: ポート番号

*.port には 3 個のプレフィックスを付けることができます。 bind.addr network.destination network.source

`*.ppid`

タイプ: 整数

定義: 親プロセス ID

*.ppid には 11 個のプレフィックスを付けることができます。 exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent

`*.retval`

タイプ: 整数

定義: syscall の戻り値

*.retval には 21 個のプレフィックスを付けることができます。 bind bpf chmod chown link load_module mkdir mmap mount mprotect open ptrace removexattr rename rmdir setxattr signal splice unlink unload_module utimes

定数: エラー定数

`*.rights`

タイプ: 整数

定義: ファイルの権限

*.rights には 38 個のプレフィックスを付けることができます。 chmod.file chown.file exec.file exec.interpreter.file exit.file exit.interpreter.file link.file link.file.destination load_module.file mkdir.file mmap.file open.file process.ancestors.file process.ancestors.interpreter.file process.file process.interpreter.file process.parent.file process.parent.interpreter.file ptrace.tracee.ancestors.file ptrace.tracee.ancestors.interpreter.file ptrace.tracee.file ptrace.tracee.interpreter.file ptrace.tracee.parent.file ptrace.tracee.parent.interpreter.file removexattr.file rename.file rename.file.destination rmdir.file setxattr.file signal.target.ancestors.file signal.target.ancestors.interpreter.file signal.target.file signal.target.interpreter.file signal.target.parent.file signal.target.parent.interpreter.file splice.file unlink.file utimes.file

定数: ファイルモード定数

`*.tid`

タイプ: 整数

定義: スレッドのスレッド ID

*.tid には 11 個のプレフィックスを付けることができます。 exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent

`*.tty_name`

タイプ: 文字列

定義: プロセスに関連する TTY の名前

*.tty_name には 11 個のプレフィックスを付けることができます。 exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent

`*.uid`

タイプ: 整数

定義: プロセスの UID

*.uid には 11 個のプレフィックスを付けることができます。 exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent

`*.uid`

タイプ: 整数

定義: ファイルの所有者の UID

*.uid には 38 個のプレフィックスを付けることができます。 chmod.file chown.file exec.file exec.interpreter.file exit.file exit.interpreter.file link.file link.file.destination load_module.file mkdir.file mmap.file open.file process.ancestors.file process.ancestors.interpreter.file process.file process.interpreter.file process.parent.file process.parent.interpreter.file ptrace.tracee.ancestors.file ptrace.tracee.ancestors.interpreter.file ptrace.tracee.file ptrace.tracee.interpreter.file ptrace.tracee.parent.file ptrace.tracee.parent.interpreter.file removexattr.file rename.file rename.file.destination rmdir.file setxattr.file signal.target.ancestors.file signal.target.ancestors.interpreter.file signal.target.file signal.target.interpreter.file signal.target.parent.file signal.target.parent.interpreter.file splice.file unlink.file utimes.file

`*.user`

タイプ: 文字列

定義: プロセスのユーザー

*.user には 11 個のプレフィックスを付けることができます。 exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent

例:

process.user == "root"

ルートユーザーとして実行されているプロセスによってトリガーされるイベントを制限します。

`*.user`

タイプ: 文字列

定義: ファイルの所有者のユーザー

*.user には 38 個のプレフィックスを付けることができます。 chmod.file chown.file exec.file exec.interpreter.file exit.file exit.interpreter.file link.file link.file.destination load_module.file mkdir.file mmap.file open.file process.ancestors.file process.ancestors.interpreter.file process.file process.interpreter.file process.parent.file process.parent.interpreter.file ptrace.tracee.ancestors.file ptrace.tracee.ancestors.interpreter.file ptrace.tracee.file ptrace.tracee.interpreter.file ptrace.tracee.parent.file ptrace.tracee.parent.interpreter.file removexattr.file rename.file rename.file.destination rmdir.file setxattr.file signal.target.ancestors.file signal.target.ancestors.interpreter.file signal.target.file signal.target.interpreter.file signal.target.parent.file signal.target.parent.interpreter.file splice.file unlink.file utimes.file

`bind.addr.family`

タイプ: 整数

定義: アドレスファミリー

`bpf.cmd`

タイプ: 整数

定義: BPF コマンド名

定数: BPF コマンド

`bpf.map.name`

タイプ: 文字列

定義: eBPF マップの名前 (7.35 で追加)

`bpf.map.type`

タイプ: 整数

定義: eBPF マップのタイプ

定数: BPF マップタイプ

`bpf.prog.attach_type`

タイプ: 整数

定義: eBPF プログラムのアタッチタイプ

定数: BPF アタッチタイプ

`bpf.prog.helpers`

タイプ: 整数

定義: eBPF プログラムが使用する eBPF ヘルパー (7.35 で追加)

定数: BPF ヘルパー関数

`bpf.prog.name`

タイプ: 文字列

定義: eBPF プログラムの名前 (7.35 で追加)

`bpf.prog.tag`

タイプ: 文字列

定義: eBPF プログラムのハッシュ (sha1) (7.35 で追加)

`bpf.prog.type`

タイプ: 整数

定義: eBPF プログラムのタイプ

定数: BPF プログラムタイプ

`capset.cap_effective`

タイプ: 整数

定義: プロセスの有効なケイパビリティセット

定数: カーネルケイパビリティ定数

`capset.cap_permitted`

タイプ: 整数

定義: プロセスの許可されたケイパビリティセット

定数: カーネルケイパビリティ定数

`chmod.file.destination.mode`

タイプ: 整数

定義: chmod されたファイルの新しいモード

定数: ファイルモード定数

`chmod.file.destination.rights`

タイプ: 整数

定義: chmod されたファイルの新しい権限

定数: ファイルモード定数

`chown.file.destination.gid`

タイプ: 整数

定義: chown されたファイルの所有者の新しい GID

`chown.file.destination.group`

タイプ: 文字列

定義: chown されたファイルの所有者の新しいグループ

`chown.file.destination.uid`

タイプ: 整数

定義: chown されたファイルの所有者の新しい UID

`chown.file.destination.user`

タイプ: 文字列

定義: chown されたファイルの所有者の新しいユーザー

`container.created_at`

タイプ: 整数

定義: コンテナ作成時のタイムスタンプ

`container.id`

タイプ: 文字列

定義: コンテナの ID

`container.tags`

タイプ: 文字列

定義: コンテナのタグ

`dns.id`

タイプ: 整数

定義: [実験] DNS リクエスト ID

`dns.question.class`

タイプ: 整数

定義: DNS の質問で調べたクラス

定数: DNS qclasses

`dns.question.count`

タイプ: 整数

定義: DNS リクエストの質問数の合計

`dns.question.length`

タイプ: 整数

定義: DNS リクエストの合計サイズ (バイト)

`dns.question.name`

タイプ: 文字列

定義: クエリ対象のドメイン名

`dns.question.type`

タイプ: 整数

定義: DNS の質問タイプを指定する 2 オクテットのコード

定数: DNS qtypes

`event.async`

タイプ: ブール

定義: syscall が非同期の場合、true

`event.timestamp`

タイプ: 整数

定義: イベントのタイムスタンプ

`exit.cause`

タイプ: 整数

定義: プロセス終了の原因 (EXITED、SIGNALED、COREDUMPED のいずれか 1 つ)

`exit.code`

タイプ: 整数

定義: プロセスの終了コード、またはプロセスを終了させたシグナルの番号

`load_module.args`

タイプ: 文字列

定義: 新しいカーネルモジュールのパラメーター (文字列)

`load_module.args_truncated`

タイプ: ブール

定義: 引数が切り捨てられたか否かを示します

`load_module.argv`

タイプ: 文字列

定義: 新しいカーネルモジュールのパラメーター (配列)

`load_module.loaded_from_memory`

タイプ: ブール

定義: カーネルモジュールがメモリからロードされたかどうかを示す

`load_module.name`

タイプ: 文字列

定義: 新しいカーネルモジュールの名前

`mkdir.file.destination.mode`

タイプ: 整数

定義: 新しいディレクトリのモード

定数: ファイルモード定数

`mkdir.file.destination.rights`

タイプ: 整数

定義: 新しいディレクトリの権限

定数: ファイルモード定数

`mmap.flags`

タイプ: 整数

定義: メモリセグメントフラグ

定数: MMap フラグ

`mmap.protection`

タイプ: 整数

定義: メモリセグメント保護

定数: 保護定数

`mount.fs_type`

タイプ: 文字列

定義: マウントされたファイルシステムの種類

`mount.mountpoint.path`

タイプ: 文字列

定義: マウントポイントのパス

`mount.source.path`

タイプ: 文字列

定義: バインドマウントのソースパス

`mprotect.req_protection`

タイプ: 整数

定義: 新規メモリセグメント保護

定数: 仮想メモリフラグ

`mprotect.vm_protection`

タイプ: 整数

定義: 初期メモリセグメント保護

定数: 仮想メモリフラグ

`network.device.ifindex`

タイプ: 整数

定義: インターフェイス ifindex

`network.device.ifname`

タイプ: 文字列

定義: インターフェイス ifname

`network.l3_protocol`

タイプ: 整数

定義: ネットワークパケットの l3 プロトコル

定数: L3 プロトコル

`network.l4_protocol`

タイプ: 整数

定義: ネットワークパケットの l4 プロトコル

定数: L4 プロトコル

`network.size`

タイプ: 整数

定義: ネットワークパケットのバイト数

`open.file.destination.mode`

タイプ: 整数

定義: 作成されたファイルのモード

定数: ファイルモード定数

`open.flags`

タイプ: 整数

定義: ファイルを開く際に使用するフラグ

定数: オープンフラグ

`ptrace.request`

タイプ: 整数

定義: ptrace リクエスト

定数: Ptrace 定数

`selinux.bool.name`

タイプ: 文字列

定義: SELinux ブール値名

`selinux.bool.state`

タイプ: 文字列

定義: SELinux のブール値の新しい値

`selinux.bool_commit.state`

タイプ: ブール

定義: SELinux のブールコミット演算のインジケーター

`selinux.enforce.status`

タイプ: 文字列

定義: SELinux の実行ステータス (“enforcing”、“permissive”、“disabled” のいずれか 1 つ)

`setgid.egid`

タイプ: 整数

定義: プロセスの新しい有効な GID

`setgid.egroup`

タイプ: 文字列

定義: プロセスの新しい有効なグループ

`setgid.fsgid`

タイプ: 整数

定義: プロセスの新しい FileSystem GID

`setgid.fsgroup`

タイプ: 文字列

定義: プロセスの新しい FileSystem グループ

`setgid.gid`

タイプ: 整数

定義: プロセスの新しい GID

`setgid.group`

タイプ: 文字列

定義: プロセスの新しいグループ

`setuid.euid`

タイプ: 整数

定義: プロセスの新しい有効な UID

`setuid.euser`

タイプ: 文字列

定義: プロセスの新しい有効なユーザー

`setuid.fsuid`

タイプ: 整数

定義: プロセスの新しい FileSystem UID

`setuid.fsuser`

タイプ: 文字列

定義: プロセスの新しい FileSystem ユーザー

`setuid.uid`

タイプ: 整数

定義: プロセスの新しい UID

`setuid.user`

タイプ: 文字列

定義: プロセスの新しいユーザー

`signal.pid`

タイプ: 整数

定義: ターゲット PID

`signal.type`

タイプ: 整数

定義: シグナルの種類 (例: SIGHUP、SIGINT、SIGQUIT など)

定数: シグナル定数

`splice.pipe_entry_flag`

タイプ: 整数

定義: splice syscall に渡された “fd_out” パイプのエントリフラグ

定数: パイプバッファフラグ

`splice.pipe_exit_flag`

タイプ: 整数

定義: splice syscall に渡された “fd_out” パイプの終了フラグ

定数: パイプバッファフラグ

`unlink.flags`

タイプ: 整数

定義: アンリンク syscall のフラグ

定数: リンク解除フラグ

`unload_module.name`

タイプ: 文字列

定義: 削除されたカーネルモジュールの名前

定数

定数は、ルールの可読性を向上させるために使用します。定数には、すべてのアーキテクチャに共通するものと、いくつかのアーキテクチャに固有のものがあります。

`BPF attach types`

BPF アタッチタイプは、サポートされている eBPF プログラムアタッチタイプです。

名前	アーキテクチャ
`BPF_CGROUP_INET_INGRESS`	すべて
`BPF_CGROUP_INET_EGRESS`	すべて
`BPF_CGROUP_INET_SOCK_CREATE`	すべて
`BPF_CGROUP_SOCK_OPS`	すべて
`BPF_SK_SKB_STREAM_PARSER`	すべて
`BPF_SK_SKB_STREAM_VERDICT`	すべて
`BPF_CGROUP_DEVICE`	すべて
`BPF_SK_MSG_VERDICT`	すべて
`BPF_CGROUP_INET4_BIND`	すべて
`BPF_CGROUP_INET6_BIND`	すべて
`BPF_CGROUP_INET4_CONNECT`	すべて
`BPF_CGROUP_INET6_CONNECT`	すべて
`BPF_CGROUP_INET4_POST_BIND`	すべて
`BPF_CGROUP_INET6_POST_BIND`	すべて
`BPF_CGROUP_UDP4_SENDMSG`	すべて
`BPF_CGROUP_UDP6_SENDMSG`	すべて
`BPF_LIRC_MODE2`	すべて
`BPF_FLOW_DISSECTOR`	すべて
`BPF_CGROUP_SYSCTL`	すべて
`BPF_CGROUP_UDP4_RECVMSG`	すべて
`BPF_CGROUP_UDP6_RECVMSG`	すべて
`BPF_CGROUP_GETSOCKOPT`	すべて
`BPF_CGROUP_SETSOCKOPT`	すべて
`BPF_TRACE_RAW_TP`	すべて
`BPF_TRACE_FENTRY`	すべて
`BPF_TRACE_FEXIT`	すべて
`BPF_MODIFY_RETURN`	すべて
`BPF_LSM_MAC`	すべて
`BPF_TRACE_ITER`	すべて
`BPF_CGROUP_INET4_GETPEERNAME`	すべて
`BPF_CGROUP_INET6_GETPEERNAME`	すべて
`BPF_CGROUP_INET4_GETSOCKNAME`	すべて
`BPF_CGROUP_INET6_GETSOCKNAME`	すべて
`BPF_XDP_DEVMAP`	すべて
`BPF_CGROUP_INET_SOCK_RELEASE`	すべて
`BPF_XDP_CPUMAP`	すべて
`BPF_SK_LOOKUP`	すべて
`BPF_XDP`	すべて
`BPF_SK_SKB_VERDICT`	すべて

`BPF commands`

BPF コマンドは、bpf syscall へのコマンドを指定するために使用されます。

名前	アーキテクチャ
`BPF_MAP_CREATE`	すべて
`BPF_MAP_LOOKUP_ELEM`	すべて
`BPF_MAP_UPDATE_ELEM`	すべて
`BPF_MAP_DELETE_ELEM`	すべて
`BPF_MAP_GET_NEXT_KEY`	すべて
`BPF_PROG_LOAD`	すべて
`BPF_OBJ_PIN`	すべて
`BPF_OBJ_GET`	すべて
`BPF_PROG_ATTACH`	すべて
`BPF_PROG_DETACH`	すべて
`BPF_PROG_TEST_RUN`	すべて
`BPF_PROG_RUN`	すべて
`BPF_PROG_GET_NEXT_ID`	すべて
`BPF_MAP_GET_NEXT_ID`	すべて
`BPF_PROG_GET_FD_BY_ID`	すべて
`BPF_MAP_GET_FD_BY_ID`	すべて
`BPF_OBJ_GET_INFO_BY_FD`	すべて
`BPF_PROG_QUERY`	すべて
`BPF_RAW_TRACEPOINT_OPEN`	すべて
`BPF_BTF_LOAD`	すべて
`BPF_BTF_GET_FD_BY_ID`	すべて
`BPF_TASK_FD_QUERY`	すべて
`BPF_MAP_LOOKUP_AND_DELETE_ELEM`	すべて
`BPF_MAP_FREEZE`	すべて
`BPF_BTF_GET_NEXT_ID`	すべて
`BPF_MAP_LOOKUP_BATCH`	すべて
`BPF_MAP_LOOKUP_AND_DELETE_BATCH`	すべて
`BPF_MAP_UPDATE_BATCH`	すべて
`BPF_MAP_DELETE_BATCH`	すべて
`BPF_LINK_CREATE`	すべて
`BPF_LINK_UPDATE`	すべて
`BPF_LINK_GET_FD_BY_ID`	すべて
`BPF_LINK_GET_NEXT_ID`	すべて
`BPF_ENABLE_STATS`	すべて
`BPF_ITER_CREATE`	すべて
`BPF_LINK_DETACH`	すべて
`BPF_PROG_BIND_MAP`	すべて

`BPF helper functions`

BPF ヘルパー関数は、サポートされている BPF ヘルパー関数です。

名前	アーキテクチャ
`BPF_UNSPEC`	すべて
`BPF_MAP_LOOKUP_ELEM`	すべて
`BPF_MAP_UPDATE_ELEM`	すべて
`BPF_MAP_DELETE_ELEM`	すべて
`BPF_PROBE_READ`	すべて
`BPF_KTIME_GET_NS`	すべて
`BPF_TRACE_PRINTK`	すべて
`BPF_GET_PRANDOM_U32`	すべて
`BPF_GET_SMP_PROCESSOR_ID`	すべて
`BPF_SKB_STORE_BYTES`	すべて
`BPF_L3_CSUM_REPLACE`	すべて
`BPF_L4_CSUM_REPLACE`	すべて
`BPF_TAIL_CALL`	すべて
`BPF_CLONE_REDIRECT`	すべて
`BPF_GET_CURRENT_PID_TGID`	すべて
`BPF_GET_CURRENT_UID_GID`	すべて
`BPF_GET_CURRENT_COMM`	すべて
`BPF_GET_CGROUP_CLASSID`	すべて
`BPF_SKB_VLAN_PUSH`	すべて
`BPF_SKB_VLAN_POP`	すべて
`BPF_SKB_GET_TUNNEL_KEY`	すべて
`BPF_SKB_SET_TUNNEL_KEY`	すべて
`BPF_PERF_EVENT_READ`	すべて
`BPF_REDIRECT`	すべて
`BPF_GET_ROUTE_REALM`	すべて
`BPF_PERF_EVENT_OUTPUT`	すべて
`BPF_SKB_LOAD_BYTES`	すべて
`BPF_GET_STACKID`	すべて
`BPF_CSUM_DIFF`	すべて
`BPF_SKB_GET_TUNNEL_OPT`	すべて
`BPF_SKB_SET_TUNNEL_OPT`	すべて
`BPF_SKB_CHANGE_PROTO`	すべて
`BPF_SKB_CHANGE_TYPE`	すべて
`BPF_SKB_UNDER_CGROUP`	すべて
`BPF_GET_HASH_RECALC`	すべて
`BPF_GET_CURRENT_TASK`	すべて
`BPF_PROBE_WRITE_USER`	すべて
`BPF_CURRENT_TASK_UNDER_CGROUP`	すべて
`BPF_SKB_CHANGE_TAIL`	すべて
`BPF_SKB_PULL_DATA`	すべて
`BPF_CSUM_UPDATE`	すべて
`BPF_SET_HASH_INVALID`	すべて
`BPF_GET_NUMA_NODE_ID`	すべて
`BPF_SKB_CHANGE_HEAD`	すべて
`BPF_XDP_ADJUST_HEAD`	すべて
`BPF_PROBE_READ_STR`	すべて
`BPF_GET_SOCKET_COOKIE`	すべて
`BPF_GET_SOCKET_UID`	すべて
`BPF_SET_HASH`	すべて
`BPF_SETSOCKOPT`	すべて
`BPF_SKB_ADJUST_ROOM`	すべて
`BPF_REDIRECT_MAP`	すべて
`BPF_SK_REDIRECT_MAP`	すべて
`BPF_SOCK_MAP_UPDATE`	すべて
`BPF_XDP_ADJUST_META`	すべて
`BPF_PERF_EVENT_READ_VALUE`	すべて
`BPF_PERF_PROG_READ_VALUE`	すべて
`BPF_GETSOCKOPT`	すべて
`BPF_OVERRIDE_RETURN`	すべて
`BPF_SOCK_OPS_CB_FLAGS_SET`	すべて
`BPF_MSG_REDIRECT_MAP`	すべて
`BPF_MSG_APPLY_BYTES`	すべて
`BPF_MSG_CORK_BYTES`	すべて
`BPF_MSG_PULL_DATA`	すべて
`BPF_BIND`	すべて
`BPF_XDP_ADJUST_TAIL`	すべて
`BPF_SKB_GET_XFRM_STATE`	すべて
`BPF_GET_STACK`	すべて
`BPF_SKB_LOAD_BYTES_RELATIVE`	すべて
`BPF_FIB_LOOKUP`	すべて
`BPF_SOCK_HASH_UPDATE`	すべて
`BPF_MSG_REDIRECT_HASH`	すべて
`BPF_SK_REDIRECT_HASH`	すべて
`BPF_LWT_PUSH_ENCAP`	すべて
`BPF_LWT_SEG6_STORE_BYTES`	すべて
`BPF_LWT_SEG6_ADJUST_SRH`	すべて
`BPF_LWT_SEG6_ACTION`	すべて
`BPF_RC_REPEAT`	すべて
`BPF_RC_KEYDOWN`	すべて
`BPF_SKB_CGROUP_ID`	すべて
`BPF_GET_CURRENT_CGROUP_ID`	すべて
`BPF_GET_LOCAL_STORAGE`	すべて
`BPF_SK_SELECT_REUSEPORT`	すべて
`BPF_SKB_ANCESTOR_CGROUP_ID`	すべて
`BPF_SK_LOOKUP_TCP`	すべて
`BPF_SK_LOOKUP_UDP`	すべて
`BPF_SK_RELEASE`	すべて
`BPF_MAP_PUSH_ELEM`	すべて
`BPF_MAP_POP_ELEM`	すべて
`BPF_MAP_PEEK_ELEM`	すべて
`BPF_MSG_PUSH_DATA`	すべて
`BPF_MSG_POP_DATA`	すべて
`BPF_RC_POINTER_REL`	すべて
`BPF_SPIN_LOCK`	すべて
`BPF_SPIN_UNLOCK`	すべて
`BPF_SK_FULLSOCK`	すべて
`BPF_TCP_SOCK`	すべて
`BPF_SKB_ECN_SET_CE`	すべて
`BPF_GET_LISTENER_SOCK`	すべて
`BPF_SKC_LOOKUP_TCP`	すべて
`BPF_TCP_CHECK_SYNCOOKIE`	すべて
`BPF_SYSCTL_GET_NAME`	すべて
`BPF_SYSCTL_GET_CURRENT_VALUE`	すべて
`BPF_SYSCTL_GET_NEW_VALUE`	すべて
`BPF_SYSCTL_SET_NEW_VALUE`	すべて
`BPF_STRTOL`	すべて
`BPF_STRTOUL`	すべて
`BPF_SK_STORAGE_GET`	すべて
`BPF_SK_STORAGE_DELETE`	すべて
`BPF_SEND_SIGNAL`	すべて
`BPF_TCP_GEN_SYNCOOKIE`	すべて
`BPF_SKB_OUTPUT`	すべて
`BPF_PROBE_READ_USER`	すべて
`BPF_PROBE_READ_KERNEL`	すべて
`BPF_PROBE_READ_USER_STR`	すべて
`BPF_PROBE_READ_KERNEL_STR`	すべて
`BPF_TCP_SEND_ACK`	すべて
`BPF_SEND_SIGNAL_THREAD`	すべて
`BPF_JIFFIES64`	すべて
`BPF_READ_BRANCH_RECORDS`	すべて
`BPF_GET_NS_CURRENT_PID_TGID`	すべて
`BPF_XDP_OUTPUT`	すべて
`BPF_GET_NETNS_COOKIE`	すべて
`BPF_GET_CURRENT_ANCESTOR_CGROUP_ID`	すべて
`BPF_SK_ASSIGN`	すべて
`BPF_KTIME_GET_BOOT_NS`	すべて
`BPF_SEQ_PRINTF`	すべて
`BPF_SEQ_WRITE`	すべて
`BPF_SK_CGROUP_ID`	すべて
`BPF_SK_ANCESTOR_CGROUP_ID`	すべて
`BPF_RINGBUF_OUTPUT`	すべて
`BPF_RINGBUF_RESERVE`	すべて
`BPF_RINGBUF_SUBMIT`	すべて
`BPF_RINGBUF_DISCARD`	すべて
`BPF_RINGBUF_QUERY`	すべて
`BPF_CSUM_LEVEL`	すべて
`BPF_SKC_TO_TCP6_SOCK`	すべて
`BPF_SKC_TO_TCP_SOCK`	すべて
`BPF_SKC_TO_TCP_TIMEWAIT_SOCK`	すべて
`BPF_SKC_TO_TCP_REQUEST_SOCK`	すべて
`BPF_SKC_TO_UDP6_SOCK`	すべて
`BPF_GET_TASK_STACK`	すべて
`BPF_LOAD_HDR_OPT`	すべて
`BPF_STORE_HDR_OPT`	すべて
`BPF_RESERVE_HDR_OPT`	すべて
`BPF_INODE_STORAGE_GET`	すべて
`BPF_INODE_STORAGE_DELETE`	すべて
`BPF_D_PATH`	すべて
`BPF_COPY_FROM_USER`	すべて
`BPF_SNPRINTF_BTF`	すべて
`BPF_SEQ_PRINTF_BTF`	すべて
`BPF_SKB_CGROUP_CLASSID`	すべて
`BPF_REDIRECT_NEIGH`	すべて
`BPF_PER_CPU_PTR`	すべて
`BPF_THIS_CPU_PTR`	すべて
`BPF_REDIRECT_PEER`	すべて
`BPF_TASK_STORAGE_GET`	すべて
`BPF_TASK_STORAGE_DELETE`	すべて
`BPF_GET_CURRENT_TASK_BTF`	すべて
`BPF_BPRM_OPTS_SET`	すべて
`BPF_KTIME_GET_COARSE_NS`	すべて
`BPF_IMA_INODE_HASH`	すべて
`BPF_SOCK_FROM_FILE`	すべて
`BPF_CHECK_MTU`	すべて
`BPF_FOR_EACH_MAP_ELEM`	すべて
`BPF_SNPRINTF`	すべて

`BPF map types`

BPF マップタイプは、サポートされている eBPF マップタイプです。

名前	アーキテクチャ
`BPF_MAP_TYPE_UNSPEC`	すべて
`BPF_MAP_TYPE_HASH`	すべて
`BPF_MAP_TYPE_ARRAY`	すべて
`BPF_MAP_TYPE_PROG_ARRAY`	すべて
`BPF_MAP_TYPE_PERF_EVENT_ARRAY`	すべて
`BPF_MAP_TYPE_PERCPU_HASH`	すべて
`BPF_MAP_TYPE_PERCPU_ARRAY`	すべて
`BPF_MAP_TYPE_STACK_TRACE`	すべて
`BPF_MAP_TYPE_CGROUP_ARRAY`	すべて
`BPF_MAP_TYPE_LRU_HASH`	すべて
`BPF_MAP_TYPE_LRU_PERCPU_HASH`	すべて
`BPF_MAP_TYPE_LPM_TRIE`	すべて
`BPF_MAP_TYPE_ARRAY_OF_MAPS`	すべて
`BPF_MAP_TYPE_HASH_OF_MAPS`	すべて
`BPF_MAP_TYPE_DEVMAP`	すべて
`BPF_MAP_TYPE_SOCKMAP`	すべて
`BPF_MAP_TYPE_CPUMAP`	すべて
`BPF_MAP_TYPE_XSKMAP`	すべて
`BPF_MAP_TYPE_SOCKHASH`	すべて
`BPF_MAP_TYPE_CGROUP_STORAGE`	すべて
`BPF_MAP_TYPE_REUSEPORT_SOCKARRAY`	すべて
`BPF_MAP_TYPE_PERCPU_CGROUP_STORAGE`	すべて
`BPF_MAP_TYPE_QUEUE`	すべて
`BPF_MAP_TYPE_STACK`	すべて
`BPF_MAP_TYPE_SK_STORAGE`	すべて
`BPF_MAP_TYPE_DEVMAP_HASH`	すべて
`BPF_MAP_TYPE_STRUCT_OPS`	すべて
`BPF_MAP_TYPE_RINGBUF`	すべて
`BPF_MAP_TYPE_INODE_STORAGE`	すべて
`BPF_MAP_TYPE_TASK_STORAGE`	すべて

`BPF program types`

BPF プログラムタイプは、サポートされている eBPF プログラムタイプです。

名前	アーキテクチャ
`BPF_PROG_TYPE_UNSPEC`	すべて
`BPF_PROG_TYPE_SOCKET_FILTER`	すべて
`BPF_PROG_TYPE_KPROBE`	すべて
`BPF_PROG_TYPE_SCHED_CLS`	すべて
`BPF_PROG_TYPE_SCHED_ACT`	すべて
`BPF_PROG_TYPE_TRACEPOINT`	すべて
`BPF_PROG_TYPE_XDP`	すべて
`BPF_PROG_TYPE_PERF_EVENT`	すべて
`BPF_PROG_TYPE_CGROUP_SKB`	すべて
`BPF_PROG_TYPE_CGROUP_SOCK`	すべて
`BPF_PROG_TYPE_LWT_IN`	すべて
`BPF_PROG_TYPE_LWT_OUT`	すべて
`BPF_PROG_TYPE_LWT_XMIT`	すべて
`BPF_PROG_TYPE_SOCK_OPS`	すべて
`BPF_PROG_TYPE_SK_SKB`	すべて
`BPF_PROG_TYPE_CGROUP_DEVICE`	すべて
`BPF_PROG_TYPE_SK_MSG`	すべて
`BPF_PROG_TYPE_RAW_TRACEPOINT`	すべて
`BPF_PROG_TYPE_CGROUP_SOCK_ADDR`	すべて
`BPF_PROG_TYPE_LWT_SEG6LOCAL`	すべて
`BPF_PROG_TYPE_LIRC_MODE2`	すべて
`BPF_PROG_TYPE_SK_REUSEPORT`	すべて
`BPF_PROG_TYPE_FLOW_DISSECTOR`	すべて
`BPF_PROG_TYPE_CGROUP_SYSCTL`	すべて
`BPF_PROG_TYPE_RAW_TRACEPOINT_WRITABLE`	すべて
`BPF_PROG_TYPE_CGROUP_SOCKOPT`	すべて
`BPF_PROG_TYPE_TRACING`	すべて
`BPF_PROG_TYPE_STRUCT_OPS`	すべて
`BPF_PROG_TYPE_EXT`	すべて
`BPF_PROG_TYPE_LSM`	すべて
`BPF_PROG_TYPE_SK_LOOKUP`	すべて

`DNS qclasses`

DNS qclasses は、サポートされている DNS クエリクラスです。

名前	アーキテクチャ
`CLASS_INET`	すべて
`CLASS_CSNET`	すべて
`CLASS_CHAOS`	すべて
`CLASS_HESIOD`	すべて
`CLASS_NONE`	すべて
`CLASS_ANY`	すべて

`DNS qtypes`

DNS qtypes は、サポートされている DNS クエリタイプです。

名前	アーキテクチャ
`None`	すべて
`A`	すべて
`NS`	すべて
`MD`	すべて
`MF`	すべて
`CNAME`	すべて
`SOA`	すべて
`MB`	すべて
`MG`	すべて
`MR`	すべて
`NULL`	すべて
`PTR`	すべて
`HINFO`	すべて
`MINFO`	すべて
`MX`	すべて
`TXT`	すべて
`RP`	すべて
`AFSDB`	すべて
`X25`	すべて
`ISDN`	すべて
`RT`	すべて
`NSAPPTR`	すべて
`SIG`	すべて
`KEY`	すべて
`PX`	すべて
`GPOS`	すべて
`AAAA`	すべて
`LOC`	すべて
`NXT`	すべて
`EID`	すべて
`NIMLOC`	すべて
`SRV`	すべて
`ATMA`	すべて
`NAPTR`	すべて
`KX`	すべて
`CERT`	すべて
`DNAME`	すべて
`OPT`	すべて
`APL`	すべて
`DS`	すべて
`SSHFP`	すべて
`RRSIG`	すべて
`NSEC`	すべて
`DNSKEY`	すべて
`DHCID`	すべて
`NSEC3`	すべて
`NSEC3PARAM`	すべて
`TLSA`	すべて
`SMIMEA`	すべて
`HIP`	すべて
`NINFO`	すべて
`RKEY`	すべて
`TALINK`	すべて
`CDS`	すべて
`CDNSKEY`	すべて
`OPENPGPKEY`	すべて
`CSYNC`	すべて
`ZONEMD`	すべて
`SVCB`	すべて
`HTTPS`	すべて
`SPF`	すべて
`UINFO`	すべて
`UID`	すべて
`GID`	すべて
`UNSPEC`	すべて
`NID`	すべて
`L32`	すべて
`L64`	すべて
`LP`	すべて
`EUI48`	すべて
`EUI64`	すべて
`URI`	すべて
`CAA`	すべて
`AVC`	すべて
`TKEY`	すべて
`TSIG`	すべて
`IXFR`	すべて
`AXFR`	すべて
`MAILB`	すべて
`MAILA`	すべて
`ANY`	すべて
`TA`	すべて
`DLV`	すべて
`Reserved`	すべて

`Error constants`

エラー定数は、サポートされているエラー定数です。

名前	アーキテクチャ
`E2BIG`	すべて
`EACCES`	すべて
`EADDRINUSE`	すべて
`EADDRNOTAVAIL`	すべて
`EADV`	すべて
`EAFNOSUPPORT`	すべて
`EAGAIN`	すべて
`EALREADY`	すべて
`EBADE`	すべて
`EBADF`	すべて
`EBADFD`	すべて
`EBADMSG`	すべて
`EBADR`	すべて
`EBADRQC`	すべて
`EBADSLT`	すべて
`EBFONT`	すべて
`EBUSY`	すべて
`ECANCELED`	すべて
`ECHILD`	すべて
`ECHRNG`	すべて
`ECOMM`	すべて
`ECONNABORTED`	すべて
`ECONNREFUSED`	すべて
`ECONNRESET`	すべて
`EDEADLK`	すべて
`EDEADLOCK`	すべて
`EDESTADDRREQ`	すべて
`EDOM`	すべて
`EDOTDOT`	すべて
`EDQUOT`	すべて
`EEXIST`	すべて
`EFAULT`	すべて
`EFBIG`	すべて
`EHOSTDOWN`	すべて
`EHOSTUNREACH`	すべて
`EIDRM`	すべて
`EILSEQ`	すべて
`EINPROGRESS`	すべて
`EINTR`	すべて
`EINVAL`	すべて
`EIO`	すべて
`EISCONN`	すべて
`EISDIR`	すべて
`EISNAM`	すべて
`EKEYEXPIRED`	すべて
`EKEYREJECTED`	すべて
`EKEYREVOKED`	すべて
`EL2HLT`	すべて
`EL2NSYNC`	すべて
`EL3HLT`	すべて
`EL3RST`	すべて
`ELIBACC`	すべて
`ELIBBAD`	すべて
`ELIBEXEC`	すべて
`ELIBMAX`	すべて
`ELIBSCN`	すべて
`ELNRNG`	すべて
`ELOOP`	すべて
`EMEDIUMTYPE`	すべて
`EMFILE`	すべて
`EMLINK`	すべて
`EMSGSIZE`	すべて
`EMULTIHOP`	すべて
`ENAMETOOLONG`	すべて
`ENAVAIL`	すべて
`ENETDOWN`	すべて
`ENETRESET`	すべて
`ENETUNREACH`	すべて
`ENFILE`	すべて
`ENOANO`	すべて
`ENOBUFS`	すべて
`ENOCSI`	すべて
`ENODATA`	すべて
`ENODEV`	すべて
`ENOENT`	すべて
`ENOEXEC`	すべて
`ENOKEY`	すべて
`ENOLCK`	すべて
`ENOLINK`	すべて
`ENOMEDIUM`	すべて
`ENOMEM`	すべて
`ENOMSG`	すべて
`ENONET`	すべて
`ENOPKG`	すべて
`ENOPROTOOPT`	すべて
`ENOSPC`	すべて
`ENOSR`	すべて
`ENOSTR`	すべて
`ENOSYS`	すべて
`ENOTBLK`	すべて
`ENOTCONN`	すべて
`ENOTDIR`	すべて
`ENOTEMPTY`	すべて
`ENOTNAM`	すべて
`ENOTRECOVERABLE`	すべて
`ENOTSOCK`	すべて
`ENOTSUP`	すべて
`ENOTTY`	すべて
`ENOTUNIQ`	すべて
`ENXIO`	すべて
`EOPNOTSUPP`	すべて
`EOVERFLOW`	すべて
`EOWNERDEAD`	すべて
`EPERM`	すべて
`EPFNOSUPPORT`	すべて
`EPIPE`	すべて
`EPROTO`	すべて
`EPROTONOSUPPORT`	すべて
`EPROTOTYPE`	すべて
`ERANGE`	すべて
`EREMCHG`	すべて
`EREMOTE`	すべて
`EREMOTEIO`	すべて
`ERESTART`	すべて
`ERFKILL`	すべて
`EROFS`	すべて
`ESHUTDOWN`	すべて
`ESOCKTNOSUPPORT`	すべて
`ESPIPE`	すべて
`ESRCH`	すべて
`ESRMNT`	すべて
`ESTALE`	すべて
`ESTRPIPE`	すべて
`ETIME`	すべて
`ETIMEDOUT`	すべて
`ETOOMANYREFS`	すべて
`ETXTBSY`	すべて
`EUCLEAN`	すべて
`EUNATCH`	すべて
`EUSERS`	すべて
`EWOULDBLOCK`	すべて
`EXDEV`	すべて
`EXFULL`	すべて

`File mode constants`

ファイルモード定数は、サポートされるファイル権限のほか、set-user-ID、set-group-ID、スティッキービットの定数です。

名前	アーキテクチャ
`S_ISUID`	すべて
`S_ISGID`	すべて
`S_ISVTX`	すべて
`S_IRWXU`	すべて
`S_IRUSR`	すべて
`S_IWUSR`	すべて
`S_IXUSR`	すべて
`S_IRWXG`	すべて
`S_IRGRP`	すべて
`S_IWGRP`	すべて
`S_IXGRP`	すべて
`S_IRWXO`	すべて
`S_IROTH`	すべて
`S_IWOTH`	すべて
`S_IXOTH`	すべて

`Inode mode constants`

Inode モード定数は、ファイルモード定数と同様に、サポートされるファイルタイプ定数です。

名前	アーキテクチャ
`S_IFMT`	すべて
`S_IFSOCK`	すべて
`S_IFLNK`	すべて
`S_IFREG`	すべて
`S_IFBLK`	すべて
`S_IFDIR`	すべて
`S_IFCHR`	すべて
`S_IFIFO`	すべて
`S_ISUID`	すべて
`S_ISGID`	すべて
`S_ISVTX`	すべて
`S_IRWXU`	すべて
`S_IRUSR`	すべて
`S_IWUSR`	すべて
`S_IXUSR`	すべて
`S_IRWXG`	すべて
`S_IRGRP`	すべて
`S_IWGRP`	すべて
`S_IXGRP`	すべて
`S_IRWXO`	すべて
`S_IROTH`	すべて
`S_IWOTH`	すべて
`S_IXOTH`	すべて

`Kernel Capability constants`

カーネルケイパビリティ定数は、サポートされている Linux カーネルケイパビリティです。

名前	アーキテクチャ
`CAP_AUDIT_CONTROL`	すべて
`CAP_AUDIT_READ`	すべて
`CAP_AUDIT_WRITE`	すべて
`CAP_BLOCK_SUSPEND`	すべて
`CAP_BPF`	すべて
`CAP_CHECKPOINT_RESTORE`	すべて
`CAP_CHOWN`	すべて
`CAP_DAC_OVERRIDE`	すべて
`CAP_DAC_READ_SEARCH`	すべて
`CAP_FOWNER`	すべて
`CAP_FSETID`	すべて
`CAP_IPC_LOCK`	すべて
`CAP_IPC_OWNER`	すべて
`CAP_KILL`	すべて
`CAP_LEASE`	すべて
`CAP_LINUX_IMMUTABLE`	すべて
`CAP_MAC_ADMIN`	すべて
`CAP_MAC_OVERRIDE`	すべて
`CAP_MKNOD`	すべて
`CAP_NET_ADMIN`	すべて
`CAP_NET_BIND_SERVICE`	すべて
`CAP_NET_BROADCAST`	すべて
`CAP_NET_RAW`	すべて
`CAP_PERFMON`	すべて
`CAP_SETFCAP`	すべて
`CAP_SETGID`	すべて
`CAP_SETPCAP`	すべて
`CAP_SETUID`	すべて
`CAP_SYSLOG`	すべて
`CAP_SYS_ADMIN`	すべて
`CAP_SYS_BOOT`	すべて
`CAP_SYS_CHROOT`	すべて
`CAP_SYS_MODULE`	すべて
`CAP_SYS_NICE`	すべて
`CAP_SYS_PACCT`	すべて
`CAP_SYS_PTRACE`	すべて
`CAP_SYS_RAWIO`	すべて
`CAP_SYS_RESOURCE`	すべて
`CAP_SYS_TIME`	すべて
`CAP_SYS_TTY_CONFIG`	すべて
`CAP_WAKE_ALARM`	すべて

`L3 protocols`

L3 プロトコルは、サポートされているレイヤー 3 プロトコルです。

名前	アーキテクチャ
`ETH_P_LOOP`	すべて
`ETH_P_PUP`	すべて
`ETH_P_PUPAT`	すべて
`ETH_P_TSN`	すべて
`ETH_P_IP`	すべて
`ETH_P_X25`	すべて
`ETH_P_ARP`	すべて
`ETH_P_BPQ`	すべて
`ETH_P_IEEEPUP`	すべて
`ETH_P_IEEEPUPAT`	すべて
`ETH_P_BATMAN`	すべて
`ETH_P_DEC`	すべて
`ETH_P_DNADL`	すべて
`ETH_P_DNARC`	すべて
`ETH_P_DNART`	すべて
`ETH_P_LAT`	すべて
`ETH_P_DIAG`	すべて
`ETH_P_CUST`	すべて
`ETH_P_SCA`	すべて
`ETH_P_TEB`	すべて
`ETH_P_RARP`	すべて
`ETH_P_ATALK`	すべて
`ETH_P_AARP`	すべて
`ETH_P_8021_Q`	すべて
`ETH_P_ERSPAN`	すべて
`ETH_P_IPX`	すべて
`ETH_P_IPV6`	すべて
`ETH_P_PAUSE`	すべて
`ETH_P_SLOW`	すべて
`ETH_P_WCCP`	すべて
`ETH_P_MPLSUC`	すべて
`ETH_P_MPLSMC`	すべて
`ETH_P_ATMMPOA`	すべて
`ETH_P_PPPDISC`	すべて
`ETH_P_PPPSES`	すべて
`ETH_P__LINK_CTL`	すべて
`ETH_P_ATMFATE`	すべて
`ETH_P_PAE`	すべて
`ETH_P_AOE`	すべて
`ETH_P_8021_AD`	すべて
`ETH_P_802_EX1`	すべて
`ETH_P_TIPC`	すべて
`ETH_P_MACSEC`	すべて
`ETH_P_8021_AH`	すべて
`ETH_P_MVRP`	すべて
`ETH_P_1588`	すべて
`ETH_P_NCSI`	すべて
`ETH_P_PRP`	すべて
`ETH_P_FCOE`	すべて
`ETH_P_IBOE`	すべて
`ETH_P_TDLS`	すべて
`ETH_P_FIP`	すべて
`ETH_P_80221`	すべて
`ETH_P_HSR`	すべて
`ETH_P_NSH`	すべて
`ETH_P_LOOPBACK`	すべて
`ETH_P_QINQ1`	すべて
`ETH_P_QINQ2`	すべて
`ETH_P_QINQ3`	すべて
`ETH_P_EDSA`	すべて
`ETH_P_IFE`	すべて
`ETH_P_AFIUCV`	すべて
`ETH_P_8023_MIN`	すべて
`ETH_P_IPV6_HOP_BY_HOP`	すべて
`ETH_P_8023`	すべて
`ETH_P_AX25`	すべて
`ETH_P_ALL`	すべて
`ETH_P_8022`	すべて
`ETH_P_SNAP`	すべて
`ETH_P_DDCMP`	すべて
`ETH_P_WANPPP`	すべて
`ETH_P_PPPMP`	すべて
`ETH_P_LOCALTALK`	すべて
`ETH_P_CAN`	すべて
`ETH_P_CANFD`	すべて
`ETH_P_PPPTALK`	すべて
`ETH_P_TR8022`	すべて
`ETH_P_MOBITEX`	すべて
`ETH_P_CONTROL`	すべて
`ETH_P_IRDA`	すべて
`ETH_P_ECONET`	すべて
`ETH_P_HDLC`	すべて
`ETH_P_ARCNET`	すべて
`ETH_P_DSA`	すべて
`ETH_P_TRAILER`	すべて
`ETH_P_PHONET`	すべて
`ETH_P_IEEE802154`	すべて
`ETH_P_CAIF`	すべて
`ETH_P_XDSA`	すべて
`ETH_P_MAP`	すべて

`L4 protocols`

L4 プロトコルは、サポートされているレイヤー 4 プロトコルです。

名前	アーキテクチャ
`IP_PROTO_IP`	すべて
`IP_PROTO_ICMP`	すべて
`IP_PROTO_IGMP`	すべて
`IP_PROTO_IPIP`	すべて
`IP_PROTO_TCP`	すべて
`IP_PROTO_EGP`	すべて
`IP_PROTO_IGP`	すべて
`IP_PROTO_PUP`	すべて
`IP_PROTO_UDP`	すべて
`IP_PROTO_IDP`	すべて
`IP_PROTO_TP`	すべて
`IP_PROTO_DCCP`	すべて
`IP_PROTO_IPV6`	すべて
`IP_PROTO_RSVP`	すべて
`IP_PROTO_GRE`	すべて
`IP_PROTO_ESP`	すべて
`IP_PROTO_AH`	すべて
`IP_PROTO_ICMPV6`	すべて
`IP_PROTO_MTP`	すべて
`IP_PROTO_BEETPH`	すべて
`IP_PROTO_ENCAP`	すべて
`IP_PROTO_PIM`	すべて
`IP_PROTO_COMP`	すべて
`IP_PROTO_SCTP`	すべて
`IP_PROTO_UDPLITE`	すべて
`IP_PROTO_MPLS`	すべて
`IP_PROTO_RAW`	すべて

`MMap flags`

MMap フラグは、mmap syscall でサポートされているフラグです。

名前	アーキテクチャ
`MAP_SHARED`	すべて
`MAP_PRIVATE`	すべて
`MAP_SHARED_VALIDATE`	すべて
`MAP_ANON`	すべて
`MAP_ANONYMOUS`	すべて
`MAP_DENYWRITE`	すべて
`MAP_EXECUTABLE`	すべて
`MAP_FIXED`	すべて
`MAP_FIXED_NOREPLACE`	すべて
`MAP_GROWSDOWN`	すべて
`MAP_HUGETLB`	すべて
`MAP_LOCKED`	すべて
`MAP_NONBLOCK`	すべて
`MAP_NORESERVE`	すべて
`MAP_POPULATE`	すべて
`MAP_STACK`	すべて
`MAP_SYNC`	すべて
`MAP_UNINITIALIZED`	すべて
`MAP_HUGE_16KB`	すべて
`MAP_HUGE_64KB`	すべて
`MAP_HUGE_512KB`	すべて
`MAP_HUGE_1MB`	すべて
`MAP_HUGE_2MB`	すべて
`MAP_HUGE_8MB`	すべて
`MAP_HUGE_16MB`	すべて
`MAP_HUGE_32MB`	すべて
`MAP_HUGE_256MB`	すべて
`MAP_HUGE_512MB`	すべて
`MAP_HUGE_1GB`	すべて
`MAP_HUGE_2GB`	すべて
`MAP_HUGE_16GB`	すべて
`MAP_32BIT`	amd64

`Network Address Family constants`

ネットワークアドレスファミリー定数は、サポートされているネットワークアドレスファミリーです。

名前	アーキテクチャ
`AF_UNSPEC`	すべて
`AF_LOCAL`	すべて
`AF_UNIX`	すべて
`AF_FILE`	すべて
`AF_INET`	すべて
`AF_AX25`	すべて
`AF_IPX`	すべて
`AF_APPLETALK`	すべて
`AF_NETROM`	すべて
`AF_BRIDGE`	すべて
`AF_ATMPVC`	すべて
`AF_X25`	すべて
`AF_INET6`	すべて
`AF_ROSE`	すべて
`AF_DECnet`	すべて
`AF_NETBEUI`	すべて
`AF_SECURITY`	すべて
`AF_KEY`	すべて
`AF_NETLINK`	すべて
`AF_ROUTE`	すべて
`AF_PACKET`	すべて
`AF_ASH`	すべて
`AF_ECONET`	すべて
`AF_ATMSVC`	すべて
`AF_RDS`	すべて
`AF_SNA`	すべて
`AF_IRDA`	すべて
`AF_PPPOX`	すべて
`AF_WANPIPE`	すべて
`AF_LLC`	すべて
`AF_IB`	すべて
`AF_MPLS`	すべて
`AF_CAN`	すべて
`AF_TIPC`	すべて
`AF_BLUETOOTH`	すべて
`AF_IUCV`	すべて
`AF_RXRPC`	すべて
`AF_ISDN`	すべて
`AF_PHONET`	すべて
`AF_IEEE802154`	すべて
`AF_CAIF`	すべて
`AF_ALG`	すべて
`AF_NFC`	すべて
`AF_VSOCK`	すべて
`AF_KCM`	すべて
`AF_QIPCRTR`	すべて
`AF_SMC`	すべて
`AF_XDP`	すべて
`AF_MAX`	すべて

`Open flags`

オープンフラグは、オープン syscall でサポートされているフラグです。

名前	アーキテクチャ
`O_RDONLY`	すべて
`O_WRONLY`	すべて
`O_RDWR`	すべて
`O_APPEND`	すべて
`O_CREAT`	すべて
`O_EXCL`	すべて
`O_SYNC`	すべて
`O_TRUNC`	すべて
`O_ACCMODE`	すべて
`O_ASYNC`	すべて
`O_CLOEXEC`	すべて
`O_DIRECT`	すべて
`O_DIRECTORY`	すべて
`O_DSYNC`	すべて
`O_FSYNC`	すべて
`O_NDELAY`	すべて
`O_NOATIME`	すべて
`O_NOCTTY`	すべて
`O_NOFOLLOW`	すべて
`O_NONBLOCK`	すべて
`O_RSYNC`	すべて

`Pipe buffer flags`

パイプバッファフラグは、パイプバッファでサポートされているフラグです。

名前	アーキテクチャ
`PIPE_BUF_FLAG_LRU`	すべて
`PIPE_BUF_FLAG_ATOMIC`	すべて
`PIPE_BUF_FLAG_GIFT`	すべて
`PIPE_BUF_FLAG_PACKET`	すべて
`PIPE_BUF_FLAG_CAN_MERGE`	すべて
`PIPE_BUF_FLAG_WHOLE`	すべて
`PIPE_BUF_FLAG_LOSS`	すべて

`Protection constants`

保護定数は、mmap syscall でサポートされている保護です。

名前	アーキテクチャ
`PROT_NONE`	すべて
`PROT_READ`	すべて
`PROT_WRITE`	すべて
`PROT_EXEC`	すべて
`PROT_GROWSDOWN`	すべて
`PROT_GROWSUP`	すべて

`Ptrace constants`

ptrace 定数は、ptrace syscall でサポートされている ptrace コマンドです。

名前	アーキテクチャ
`PTRACE_TRACEME`	すべて
`PTRACE_PEEKTEXT`	すべて
`PTRACE_PEEKDATA`	すべて
`PTRACE_PEEKUSR`	すべて
`PTRACE_POKETEXT`	すべて
`PTRACE_POKEDATA`	すべて
`PTRACE_POKEUSR`	すべて
`PTRACE_CONT`	すべて
`PTRACE_KILL`	すべて
`PTRACE_SINGLESTEP`	すべて
`PTRACE_ATTACH`	すべて
`PTRACE_DETACH`	すべて
`PTRACE_SYSCALL`	すべて
`PTRACE_SETOPTIONS`	すべて
`PTRACE_GETEVENTMSG`	すべて
`PTRACE_GETSIGINFO`	すべて
`PTRACE_SETSIGINFO`	すべて
`PTRACE_GETREGSET`	すべて
`PTRACE_SETREGSET`	すべて
`PTRACE_SEIZE`	すべて
`PTRACE_INTERRUPT`	すべて
`PTRACE_LISTEN`	すべて
`PTRACE_PEEKSIGINFO`	すべて
`PTRACE_GETSIGMASK`	すべて
`PTRACE_SETSIGMASK`	すべて
`PTRACE_SECCOMP_GET_FILTER`	すべて
`PTRACE_SECCOMP_GET_METADATA`	すべて
`PTRACE_GET_SYSCALL_INFO`	すべて
`PTRACE_GETFPREGS`	amd64、arm
`PTRACE_SETFPREGS`	amd64、arm
`PTRACE_GETFPXREGS`	amd64
`PTRACE_SETFPXREGS`	amd64
`PTRACE_OLDSETOPTIONS`	amd64、arm
`PTRACE_GET_THREAD_AREA`	amd64、arm
`PTRACE_SET_THREAD_AREA`	amd64
`PTRACE_ARCH_PRCTL`	amd64
`PTRACE_SYSEMU`	amd64、arm64
`PTRACE_SYSEMU_SINGLESTEP`	amd64、arm64
`PTRACE_SINGLEBLOCK`	amd64
`PTRACE_GETCRUNCHREGS`	arm
`PTRACE_GETFDPIC`	arm
`PTRACE_GETFDPIC_EXEC`	arm
`PTRACE_GETFDPIC_INTERP`	arm
`PTRACE_GETHBPREGS`	arm
`PTRACE_GETVFPREGS`	arm
`PTRACE_GETWMMXREGS`	arm
`PTRACE_SETCRUNCHREGS`	arm
`PTRACE_SETHBPREGS`	arm
`PTRACE_SETVFPREGS`	arm
`PTRACE_SETWMMXREGS`	arm
`PTRACE_SET_SYSCALL`	arm
`PTRACE_PEEKMTETAGS`	arm64
`PTRACE_POKEMTETAGS`	arm64

`SecL constants`

SecL 定数は、サポートされている汎用 SecL 定数です。

名前	アーキテクチャ
`true`	すべて
`false`	すべて

`Signal constants`

シグナル定数は、kill syscall でサポートされているシグナルです。

名前	アーキテクチャ
`SIGHUP`	すべて
`SIGINT`	すべて
`SIGQUIT`	すべて
`SIGILL`	すべて
`SIGTRAP`	すべて
`SIGABRT`	すべて
`SIGIOT`	すべて
`SIGBUS`	すべて
`SIGFPE`	すべて
`SIGKILL`	すべて
`SIGUSR1`	すべて
`SIGSEGV`	すべて
`SIGUSR2`	すべて
`SIGPIPE`	すべて
`SIGALRM`	すべて
`SIGTERM`	すべて
`SIGSTKFLT`	すべて
`SIGCHLD`	すべて
`SIGCONT`	すべて
`SIGSTOP`	すべて
`SIGTSTP`	すべて
`SIGTTIN`	すべて
`SIGTTOU`	すべて
`SIGURG`	すべて
`SIGXCPU`	すべて
`SIGXFSZ`	すべて
`SIGVTALRM`	すべて
`SIGPROF`	すべて
`SIGWINCH`	すべて
`SIGIO`	すべて
`SIGPOLL`	すべて
`SIGPWR`	すべて
`SIGSYS`	すべて

`Unlink flags`

アンリンクフラグは、アンリンク syscall でサポートされているフラグです。

名前	アーキテクチャ
`AT_REMOVEDIR`	すべて

`Virtual Memory flags`

仮想メモリフラグは、仮想メモリセグメントの保護を定義します。

名前	アーキテクチャ
`VM_NONE`	すべて
`VM_READ`	すべて
`VM_WRITE`	すべて
`VM_EXEC`	すべて
`VM_SHARED`	すべて
`VM_MAYREAD`	すべて
`VM_MAYWRITE`	すべて
`VM_MAYEXEC`	すべて
`VM_MAYSHARE`	すべて
`VM_GROWSDOWN`	すべて
`VM_UFFD_MISSING`	すべて
`VM_PFNMAP`	すべて
`VM_UFFD_WP`	すべて
`VM_LOCKED`	すべて
`VM_IO`	すべて
`VM_SEQ_READ`	すべて
`VM_RAND_READ`	すべて
`VM_DONTCOPY`	すべて
`VM_DONTEXPAND`	すべて
`VM_LOCKONFAULT`	すべて
`VM_ACCOUNT`	すべて
`VM_NORESERVE`	すべて
`VM_HUGETLB`	すべて
`VM_SYNC`	すべて
`VM_ARCH_1`	すべて
`VM_WIPEONFORK`	すべて
`VM_DONTDUMP`	すべて
`VM_SOFTDIRTY`	すべて
`VM_MIXEDMAP`	すべて
`VM_HUGEPAGE`	すべて
`VM_NOHUGEPAGE`	すべて
`VM_MERGEABLE`	すべて

お役に立つドキュメント、リンクや記事:

Datadog クラウドワークロードセキュリティの概要ドキュメント

カスタム Agent ルールの作成

Agent 式の構文

トリガー

演算子

パターンと正規表現

Duration

変数

CIDR と IP 範囲

ヘルパー

コマンドライン引数

ファイル権限

イベント属性

すべてのイベントタイプに共通

イベント bind

イベント bpf

イベント capset

イベント chmod

イベント chown

イベント dns

イベント exec

イベント exit

イベント link

イベント load_module

イベント mkdir

イベント mmap

イベント mount

イベント mprotect

イベント open

イベント ptrace

イベント removexattr

イベント rename

イベント rmdir

イベント selinux

イベント setgid

イベント setuid

イベント setxattr

イベント signal

イベント splice

イベント unlink

イベント unload_module

イベント utimes

属性ドキュメント

*.args

*.args_flags

*.args_options

*.args_truncated

*.argv

*.argv0

*.cap_effective

*.cap_permitted

*.change_time

*.comm

*.container.id

*.created_at

*.egid

*.egroup

*.envp

*.envs

*.envs_truncated

*.euid

*.euser

*.file.destination.name

*.file.destination.namespace

*.filesystem

*.fsgid

*.fsgroup

*.fsuid

*.fsuser

*.gid

*.gid

*.group

*.group

*.hashes

*.in_upper_layer

*.inode

*.ip

*.is_kworker

*.is_thread

*.length

*.mode

イベント `bind`

イベント `bpf`

イベント `capset`

イベント `chmod`

イベント `chown`

イベント `dns`

イベント `exec`

イベント `exit`

イベント `link`

イベント `load_module`

イベント `mkdir`

イベント `mmap`

イベント `mount`

イベント `mprotect`

イベント `open`

イベント `ptrace`

イベント `removexattr`

イベント `rename`

イベント `rmdir`

イベント `selinux`

イベント `setgid`

イベント `setuid`

イベント `setxattr`

イベント `signal`

イベント `splice`

イベント `unlink`

イベント `unload_module`

イベント `utimes`

`*.args`

`*.args_flags`

`*.args_options`

`*.args_truncated`

`*.argv`

`*.argv0`

`*.cap_effective`

`*.cap_permitted`

`*.change_time`

`*.comm`

`*.container.id`

`*.created_at`

`*.egid`

`*.egroup`

`*.envp`

`*.envs`

`*.envs_truncated`

`*.euid`

`*.euser`

`*.file.destination.name`

`*.file.destination.namespace`

`*.filesystem`

`*.fsgid`

`*.fsgroup`

`*.fsuid`

`*.fsuser`

`*.gid`

`*.gid`

`*.group`

`*.group`

`*.hashes`

`*.in_upper_layer`

`*.inode`

`*.ip`

`*.is_kworker`

`*.is_thread`

`*.length`

`*.mode`

`*.modification_time`

`*.mount_id`

`*.name`

`*.package.name`

`*.package.source_version`

`*.package.version`

`*.path`

`*.pid`

`*.port`

`*.ppid`

`*.retval`

`*.rights`

`*.tid`

`*.tty_name`