カスタム Agent ルールの作成

Agent 式の構文

クラウドワークロードセキュリティ (CWS) は、まず Datadog Agent 内のアクティビティを Agent 式に照らして評価し、収集するアクティビティを決定します。CWS ルールのこの部分は、Agent式と呼ばれます。Agent 式は、Datadog のセキュリティ言語 (SECL) を使用します。SECL 式の標準的なフォーマットは、以下のとおりです。

<event-type>.<event-attribute> <operator> <value> <event-attribute> ...

このフォーマットを使うと、ルール例は次のようになります。

open.file.path == "/etc/shadow" && file.path not in ["/usr/sbin/vipw"]

トリガー

トリガーは、システムで見られるアクティビティの種類に対応するイベントです。現在サポートされているトリガーは以下のとおりです。

SECL イベントタイプ定義Agent バージョン
bindネットワーク[実験] バインドが実行された7.37
bpfカーネルBPF コマンドが実行された7.33
capsetプロセスあるプロセスが容量セットを変更した7.27
chmodファイルファイルの権限が変更された7.27
chownファイルファイルの所有者が変更された7.27
dnsネットワークDNS リクエストが送信された7.36
execプロセスプロセスが実行またはフォークされた7.27
exitプロセスプロセスが終了した7.38
linkファイルファイルの新しい名前/エイリアスを作成する7.27
load_moduleカーネル新しいカーネルモジュールがロードされた7.35
mkdirファイルディレクトリが作成された7.27
mmapカーネルmmap コマンドが実行された7.35
mountファイル[実験] ファイルシステムがマウントされました7.42
mprotectカーネルmprotect コマンドが実行された7.35
openファイルファイルが開かれた7.27
ptraceカーネルptrace コマンドが実行された7.35
removexattrファイル拡張属性を削除する7.27
renameファイルファイル/ディレクトリの名前が変更された7.27
rmdirファイルディレクトリが削除された7.27
selinuxカーネルSELinux 操作が実行された7.30
setgidプロセスあるプロセスが有効な gid を変更した7.27
setuidプロセスあるプロセスが有効な uid を変更した7.27
setxattrファイル拡張属性を設定する7.27
signalプロセスシグナルが送信された7.35
spliceファイルsplice コマンドが実行された7.36
unlinkファイルファイルが削除された7.27
unload_moduleカーネルカーネルモジュールが削除された7.35
utimesファイルファイルのアクセス/変更時間を変更する7.27

演算子

SECL 演算子は、イベント属性を組み合わせて完全な式を作成するために使用されます。以下の演算子が利用可能です。

SECL 演算子種類定義Agent バージョン
==プロセス等しい7.27
!=ファイル等しくない7.27
>ファイル大なり7.27
>=ファイル以上7.27
<ファイル小なり7.27
<=ファイル以下7.27
!ファイル異なる7.27
^ファイル異なるバイナリ7.27
in [elem1, ...]ファイル要素がリストに含まれている7.27
not in [elem1, ...]ファイル要素がリストに含まれていない7.27
=~ファイル一致する文字列7.27
!~ファイル一致しない文字列7.27
&ファイルバイナリおよび7.27
|ファイルバイナリまたは7.27
&&ファイルロジカルおよび7.27
||ファイルロジカルまたは7.27
in CIDRネットワーク要素が IP 範囲にある7.37
not in CIDRネットワーク要素が IP 範囲にない7.37
allin CIDRネットワークすべての要素が IP 範囲にある7.37
in [CIDR1, ...]ネットワーク要素が IP 範囲にある7.37
not in [CIDR1, ...]ネットワーク要素が IP 範囲にない7.37
allin [CIDR1, ...]ネットワークすべての要素が IP 範囲にある7.37

パターンと正規表現

SECL 式では、パターンや正規表現を使用することができます。これらは innot in=~!~ 演算子とともに使用することができます。

形式対応フィールドAgent バージョン
~"pattern"~"httpd.*"すべて7.27
r"regexp"r"rc[0-9]+".path を除くすべて7.27

.path フィールドのパターンは Glob として使用されます。* は同じレベルのファイルやフォルダにマッチします。7.34 で導入された ** は、すべてのファイルとサブフォルダにマッチさせるためにパスの末尾に使用することができます。

Duration

SECL を使用すると、特定の期間に発生したイベントをトリガーとする継続時間ベースのルールを記述することができます。例えば、プロセスが作成された後、一定時間以上秘密ファイルにアクセスした場合にトリガーします。 このようなルールは、次のように書くことができます。

open.file.path == "/etc/secret" && process.file.name == "java" && process.created_at > 5s

期間は、数値に単位の接尾辞をつけたものです。対応するサフィックスは “s”、“m”、“h” です。

変数

SECL 変数は、値として、または値の一部として使用することができる定義済みの変数です。

例えば、process.pid という変数を使ったルールは以下のようになります。

open.file.path == "/proc/${process.pid}/maps"

利用可能な変数の一覧です。

SECL 変数定義Agent バージョン
process.pidプロセス PID7.33

CIDR と IP 範囲

SECL では、CIDR および IP のマッチングが可能です。innot inallin のような演算子と CIDR や IP の表記を組み合わせて使うことができます。

このようなルールは、次のように書くことができます。

dns.question.name == "example.com" && network.destination.ip in ["192.168.1.25", "10.0.0.0/24"]

ヘルパー

SECL にはヘルパーが存在し、ユーザーは正規表現のような汎用的なテクニックに頼ることなく、高度なルールを書くことができます。

コマンドライン引数

args_flagsargs_options は、コマンドライン引数に基づく CWS 規則の記述を容易にするためのヘルパーです。

args_flags は、1 つまたは 2 つのハイフン文字で始まり、関連する値を受け入れない引数を捕捉するために使用されます。

例:

  • versioncat --version コマンドの args_flags の一部です。
  • netstat -ln コマンドの args_flags には ln の両方が含まれています。

args_options は、1 つまたは 2 つのハイフン文字で始まり、同じ引数として指定されるが ‘=’ 文字で区切られた値、または次の引数として指定された値を受け入れる引数を捕捉するために使用されます。

例:

  • ls -T 8 --width=8 コマンドの args_options には T=8width=8 の両方が含まれています。
  • exec.args_options ~= [ “s=.*\’” ]-s 引数と \ で終わるコマンドで sudoedit が起動されたことを検出するために使用することができます。

ファイル権限

file.mode に加えて file.rights 属性が使用できるようになりました。file.mode はカーネルが設定した値を保持することができますが、file.rights はユーザーが設定した値のみを保持します。これらの権限は chmod コマンドにあるため、より馴染みがあるかもしれません。

イベント属性

すべてのイベントタイプに共通

プロパティ定義
container.created_atコンテナ作成時のタイムスタンプ
container.idコンテナの ID
container.tagsコンテナのタグ
event.asyncsyscall が非同期の場合、true
event.timestampイベントのタイムスタンプ
network.destination.ipIP アドレス
network.destination.portポート番号
network.device.ifindexインターフェイス ifindex
network.device.ifnameインターフェイス ifname
network.l3_protocolネットワークパケットの l3 プロトコル
network.l4_protocolネットワークパケットの l4 プロトコル
network.sizeネットワークパケットのバイト数
network.source.ipIP アドレス
network.source.portポート番号
process.ancestors.argsプロセスの引数 (文字列。argv0 を除く)
process.ancestors.args_flagsプロセス引数のフラグ
process.ancestors.args_optionsオプションとしてのプロセスの引数
process.ancestors.args_truncated引数の切り捨てのインジケーター
process.ancestors.argvプロセスの引数 (配列。argv0 を除く)
process.ancestors.argv0プロセスの第一引数
process.ancestors.cap_effectiveプロセスの有効なケイパビリティセット
process.ancestors.cap_permittedプロセスの許可されたケイパビリティセット
process.ancestors.commプロセスの Comm 属性
process.ancestors.container.idコンテナ ID
process.ancestors.created_atプロセス作成時のタイムスタンプ
process.ancestors.egidプロセスの有効な GID
process.ancestors.egroupプロセスの有効なグループ
process.ancestors.envpプロセスの環境変数
process.ancestors.envsプロセスの環境変数名
process.ancestors.envs_truncated環境変数の切り捨てのインジケーター
process.ancestors.euidプロセスの有効な UID
process.ancestors.euserプロセスの有効なユーザー
process.ancestors.file.change_timeファイルの変更時間
process.ancestors.file.filesystemファイルの filesystem
process.ancestors.file.gidファイルの所有者の GID
process.ancestors.file.groupファイルの所有者のグループ
process.ancestors.file.hashes[実験] このファイルに対して計算された暗号ハッシュのリスト
process.ancestors.file.in_upper_layerファイルレイヤーのインジケーター (例えば OverlayFS の場合)
process.ancestors.file.inodeファイルの Inode
process.ancestors.file.modeファイルのモード
process.ancestors.file.modification_timeファイルの修正時間
process.ancestors.file.mount_idファイルのマウント ID
process.ancestors.file.nameファイルのベース名
process.ancestors.file.name.length対応する文字列の長さ
process.ancestors.file.package.name[試験運用] このファイルを提供したパッケージの名前
process.ancestors.file.package.source_version[試験運用] このファイルを提供したパッケージのソースパッケージの正式バージョン名
process.ancestors.file.package.version[試験運用] このファイルを提供したパッケージの正式バージョン名
process.ancestors.file.pathファイルのパス
process.ancestors.file.path.length対応する文字列の長さ
process.ancestors.file.rightsファイルの権限
process.ancestors.file.uidファイルの所有者の UID
process.ancestors.file.userファイルの所有者のユーザー
process.ancestors.fsgidプロセスの FileSystem-gid
process.ancestors.fsgroupプロセスの FileSystem-group
process.ancestors.fsuidプロセスの FileSystem-uid
process.ancestors.fsuserプロセスの FileSystem-user
process.ancestors.gidプロセスの GID
process.ancestors.groupプロセスのグループ
process.ancestors.interpreter.file.change_timeファイルの変更時間
process.ancestors.interpreter.file.filesystemファイルの filesystem
process.ancestors.interpreter.file.gidファイルの所有者の GID
process.ancestors.interpreter.file.groupファイルの所有者のグループ
process.ancestors.interpreter.file.hashes[実験] このファイルに対して計算された暗号ハッシュのリスト
process.ancestors.interpreter.file.in_upper_layerファイルレイヤーのインジケーター (例えば OverlayFS の場合)
process.ancestors.interpreter.file.inodeファイルの Inode
process.ancestors.interpreter.file.modeファイルのモード
process.ancestors.interpreter.file.modification_timeファイルの修正時間
process.ancestors.interpreter.file.mount_idファイルのマウント ID
process.ancestors.interpreter.file.nameファイルのベース名
process.ancestors.interpreter.file.name.length対応する文字列の長さ
process.ancestors.interpreter.file.package.name[試験運用] このファイルを提供したパッケージの名前
process.ancestors.interpreter.file.package.source_version[試験運用] このファイルを提供したパッケージのソースパッケージの正式バージョン名
process.ancestors.interpreter.file.package.version[試験運用] このファイルを提供したパッケージの正式バージョン名
process.ancestors.interpreter.file.pathファイルのパス
process.ancestors.interpreter.file.path.length対応する文字列の長さ
process.ancestors.interpreter.file.rightsファイルの権限
process.ancestors.interpreter.file.uidファイルの所有者の UID
process.ancestors.interpreter.file.userファイルの所有者のユーザー
process.ancestors.is_kworkerプロセスが kworker であるかどうかを示します
process.ancestors.is_threadプロセスがスレッド (他のプログラムを実行していない子プロセス) とみなされているかどうかを示します
process.ancestors.pidプロセスのプロセス ID (スレッドグループ ID とも呼ばれる)
process.ancestors.ppid親プロセス ID
process.ancestors.tidスレッドのスレッド ID
process.ancestors.tty_nameプロセスに関連する TTY の名前
process.ancestors.uidプロセスの UID
process.ancestors.userプロセスのユーザー
process.argsプロセスの引数 (文字列。argv0 を除く)
process.args_flagsプロセス引数のフラグ
process.args_optionsオプションとしてのプロセスの引数
process.args_truncated引数の切り捨てのインジケーター
process.argvプロセスの引数 (配列。argv0 を除く)
process.argv0プロセスの第一引数
process.cap_effectiveプロセスの有効なケイパビリティセット
process.cap_permittedプロセスの許可されたケイパビリティセット
process.commプロセスの Comm 属性
process.container.idコンテナ ID
process.created_atプロセス作成時のタイムスタンプ
process.egidプロセスの有効な GID
process.egroupプロセスの有効なグループ
process.envpプロセスの環境変数
process.envsプロセスの環境変数名
process.envs_truncated環境変数の切り捨てのインジケーター
process.euidプロセスの有効な UID
process.euserプロセスの有効なユーザー
process.file.change_timeファイルの変更時間
process.file.filesystemファイルの filesystem
process.file.gidファイルの所有者の GID
process.file.groupファイルの所有者のグループ
process.file.hashes[実験] このファイルに対して計算された暗号ハッシュのリスト
process.file.in_upper_layerファイルレイヤーのインジケーター (例えば OverlayFS の場合)
process.file.inodeファイルの Inode
process.file.modeファイルのモード
process.file.modification_timeファイルの修正時間
process.file.mount_idファイルのマウント ID
process.file.nameファイルのベース名
process.file.name.length対応する文字列の長さ
process.file.package.name[試験運用] このファイルを提供したパッケージの名前
process.file.package.source_version[試験運用] このファイルを提供したパッケージのソースパッケージの正式バージョン名
process.file.package.version[試験運用] このファイルを提供したパッケージの正式バージョン名
process.file.pathファイルのパス
process.file.path.length対応する文字列の長さ
process.file.rightsファイルの権限
process.file.uidファイルの所有者の UID
process.file.userファイルの所有者のユーザー
process.fsgidプロセスの FileSystem-gid
process.fsgroupプロセスの FileSystem-group
process.fsuidプロセスの FileSystem-uid
process.fsuserプロセスの FileSystem-user
process.gidプロセスの GID
process.groupプロセスのグループ
process.interpreter.file.change_timeファイルの変更時間
process.interpreter.file.filesystemファイルの filesystem
process.interpreter.file.gidファイルの所有者の GID
process.interpreter.file.groupファイルの所有者のグループ
process.interpreter.file.hashes[実験] このファイルに対して計算された暗号ハッシュのリスト
process.interpreter.file.in_upper_layerファイルレイヤーのインジケーター (例えば OverlayFS の場合)
process.interpreter.file.inodeファイルの Inode
process.interpreter.file.modeファイルのモード
process.interpreter.file.modification_timeファイルの修正時間
process.interpreter.file.mount_idファイルのマウント ID
process.interpreter.file.nameファイルのベース名
process.interpreter.file.name.length対応する文字列の長さ
process.interpreter.file.package.name[試験運用] このファイルを提供したパッケージの名前
process.interpreter.file.package.source_version[試験運用] このファイルを提供したパッケージのソースパッケージの正式バージョン名
process.interpreter.file.package.version[試験運用] このファイルを提供したパッケージの正式バージョン名
process.interpreter.file.pathファイルのパス
process.interpreter.file.path.length対応する文字列の長さ
process.interpreter.file.rightsファイルの権限
process.interpreter.file.uidファイルの所有者の UID
process.interpreter.file.userファイルの所有者のユーザー
process.is_kworkerプロセスが kworker であるかどうかを示します
process.is_threadプロセスがスレッド (他のプログラムを実行していない子プロセス) とみなされているかどうかを示します
process.parent.argsプロセスの引数 (文字列。argv0 を除く)
process.parent.args_flagsプロセス引数のフラグ
process.parent.args_optionsオプションとしてのプロセスの引数
process.parent.args_truncated引数の切り捨てのインジケーター
process.parent.argvプロセスの引数 (配列。argv0 を除く)
process.parent.argv0プロセスの第一引数
process.parent.cap_effectiveプロセスの有効なケイパビリティセット
process.parent.cap_permittedプロセスの許可されたケイパビリティセット
process.parent.commプロセスの Comm 属性
process.parent.container.idコンテナ ID
process.parent.created_atプロセス作成時のタイムスタンプ
process.parent.egidプロセスの有効な GID
process.parent.egroupプロセスの有効なグループ
process.parent.envpプロセスの環境変数
process.parent.envsプロセスの環境変数名
process.parent.envs_truncated環境変数の切り捨てのインジケーター
process.parent.euidプロセスの有効な UID
process.parent.euserプロセスの有効なユーザー
process.parent.file.change_timeファイルの変更時間
process.parent.file.filesystemファイルの filesystem
process.parent.file.gidファイルの所有者の GID
process.parent.file.groupファイルの所有者のグループ
process.parent.file.hashes[実験] このファイルに対して計算された暗号ハッシュのリスト
process.parent.file.in_upper_layerファイルレイヤーのインジケーター (例えば OverlayFS の場合)
process.parent.file.inodeファイルの Inode
process.parent.file.modeファイルのモード
process.parent.file.modification_timeファイルの修正時間
process.parent.file.mount_idファイルのマウント ID
process.parent.file.nameファイルのベース名
process.parent.file.name.length対応する文字列の長さ
process.parent.file.package.name[試験運用] このファイルを提供したパッケージの名前
process.parent.file.package.source_version[試験運用] このファイルを提供したパッケージのソースパッケージの正式バージョン名
process.parent.file.package.version[試験運用] このファイルを提供したパッケージの正式バージョン名
process.parent.file.pathファイルのパス
process.parent.file.path.length対応する文字列の長さ
process.parent.file.rightsファイルの権限
process.parent.file.uidファイルの所有者の UID
process.parent.file.userファイルの所有者のユーザー
process.parent.fsgidプロセスの FileSystem-gid
process.parent.fsgroupプロセスの FileSystem-group
process.parent.fsuidプロセスの FileSystem-uid
process.parent.fsuserプロセスの FileSystem-user
process.parent.gidプロセスの GID
process.parent.groupプロセスのグループ
process.parent.interpreter.file.change_timeファイルの変更時間
process.parent.interpreter.file.filesystemファイルの filesystem
process.parent.interpreter.file.gidファイルの所有者の GID
process.parent.interpreter.file.groupファイルの所有者のグループ
process.parent.interpreter.file.hashes[実験] このファイルに対して計算された暗号ハッシュのリスト
process.parent.interpreter.file.in_upper_layerファイルレイヤーのインジケーター (例えば OverlayFS の場合)
process.parent.interpreter.file.inodeファイルの Inode
process.parent.interpreter.file.modeファイルのモード
process.parent.interpreter.file.modification_timeファイルの修正時間
process.parent.interpreter.file.mount_idファイルのマウント ID
process.parent.interpreter.file.nameファイルのベース名
process.parent.interpreter.file.name.length対応する文字列の長さ
process.parent.interpreter.file.package.name[試験運用] このファイルを提供したパッケージの名前
process.parent.interpreter.file.package.source_version[試験運用] このファイルを提供したパッケージのソースパッケージの正式バージョン名
process.parent.interpreter.file.package.version[試験運用] このファイルを提供したパッケージの正式バージョン名
process.parent.interpreter.file.pathファイルのパス
process.parent.interpreter.file.path.length対応する文字列の長さ
process.parent.interpreter.file.rightsファイルの権限
process.parent.interpreter.file.uidファイルの所有者の UID
process.parent.interpreter.file.userファイルの所有者のユーザー
process.parent.is_kworkerプロセスが kworker であるかどうかを示します
process.parent.is_threadプロセスがスレッド (他のプログラムを実行していない子プロセス) とみなされているかどうかを示します
process.parent.pidプロセスのプロセス ID (スレッドグループ ID とも呼ばれる)
process.parent.ppid親プロセス ID
process.parent.tidスレッドのスレッド ID
process.parent.tty_nameプロセスに関連する TTY の名前
process.parent.uidプロセスの UID
process.parent.userプロセスのユーザー
process.pidプロセスのプロセス ID (スレッドグループ ID とも呼ばれる)
process.ppid親プロセス ID
process.tidスレッドのスレッド ID
process.tty_nameプロセスに関連する TTY の名前
process.uidプロセスの UID
process.userプロセスのユーザー

イベント bind

このイベントタイプは実験的なものであり、将来的に変更される可能性があります。

バインドが実行された

プロパティ定義
bind.addr.familyアドレスファミリー
bind.addr.ipIP アドレス
bind.addr.portポート番号
bind.retvalsyscall の戻り値

イベント bpf

BPF コマンドが実行された

プロパティ定義
bpf.cmdBPF コマンド名
bpf.map.nameeBPF マップの名前 (7.35 で追加)
bpf.map.typeeBPF マップのタイプ
bpf.prog.attach_typeeBPF プログラムのアタッチタイプ
bpf.prog.helperseBPF プログラムが使用する eBPF ヘルパー (7.35 で追加)
bpf.prog.nameeBPF プログラムの名前 (7.35 で追加)
bpf.prog.tageBPF プログラムのハッシュ (sha1) (7.35 で追加)
bpf.prog.typeeBPF プログラムのタイプ
bpf.retvalsyscall の戻り値

イベント capset

あるプロセスが容量セットを変更した

プロパティ定義
capset.cap_effectiveプロセスの有効なケイパビリティセット
capset.cap_permittedプロセスの許可されたケイパビリティセット

イベント chmod

ファイルの権限が変更された

プロパティ定義
chmod.file.change_timeファイルの変更時間
chmod.file.destination.modechmod されたファイルの新しいモード
chmod.file.destination.rightschmod されたファイルの新しい権限
chmod.file.filesystemファイルの filesystem
chmod.file.gidファイルの所有者の GID
chmod.file.groupファイルの所有者のグループ
chmod.file.hashes[実験] このファイルに対して計算された暗号ハッシュのリスト
chmod.file.in_upper_layerファイルレイヤーのインジケーター (例えば OverlayFS の場合)
chmod.file.inodeファイルの Inode
chmod.file.modeファイルのモード
chmod.file.modification_timeファイルの修正時間
chmod.file.mount_idファイルのマウント ID
chmod.file.nameファイルのベース名
chmod.file.name.length対応する文字列の長さ
chmod.file.package.name[試験運用] このファイルを提供したパッケージの名前
chmod.file.package.source_version[試験運用] このファイルを提供したパッケージのソースパッケージの正式バージョン名
chmod.file.package.version[試験運用] このファイルを提供したパッケージの正式バージョン名
chmod.file.pathファイルのパス
chmod.file.path.length対応する文字列の長さ
chmod.file.rightsファイルの権限
chmod.file.uidファイルの所有者の UID
chmod.file.userファイルの所有者のユーザー
chmod.retvalsyscall の戻り値

イベント chown

ファイルの所有者が変更された

プロパティ定義
chown.file.change_timeファイルの変更時間
chown.file.destination.gidchown されたファイルの所有者の新しい GID
chown.file.destination.groupchown されたファイルの所有者の新しいグループ
chown.file.destination.uidchown されたファイルの所有者の新しい UID
chown.file.destination.userchown されたファイルの所有者の新しいユーザー
chown.file.filesystemファイルの filesystem
chown.file.gidファイルの所有者の GID
chown.file.groupファイルの所有者のグループ
chown.file.hashes[実験] このファイルに対して計算された暗号ハッシュのリスト
chown.file.in_upper_layerファイルレイヤーのインジケーター (例えば OverlayFS の場合)
chown.file.inodeファイルの Inode
chown.file.modeファイルのモード
chown.file.modification_timeファイルの修正時間
chown.file.mount_idファイルのマウント ID
chown.file.nameファイルのベース名
chown.file.name.length対応する文字列の長さ
chown.file.package.name[試験運用] このファイルを提供したパッケージの名前
chown.file.package.source_version[試験運用] このファイルを提供したパッケージのソースパッケージの正式バージョン名
chown.file.package.version[試験運用] このファイルを提供したパッケージの正式バージョン名
chown.file.pathファイルのパス
chown.file.path.length対応する文字列の長さ
chown.file.rightsファイルの権限
chown.file.uidファイルの所有者の UID
chown.file.userファイルの所有者のユーザー
chown.retvalsyscall の戻り値

イベント dns

DNS リクエストが送信された

プロパティ定義
dns.id[実験] DNS リクエスト ID
dns.question.classDNS の質問で調べたクラス
dns.question.countDNS リクエストの質問数の合計
dns.question.lengthDNS リクエストの合計サイズ (バイト)
dns.question.nameクエリ対象のドメイン名
dns.question.name.length対応する文字列の長さ
dns.question.typeDNS の質問タイプを指定する 2 オクテットのコード

イベント exec

プロセスが実行またはフォークされた

プロパティ定義
exec.argsプロセスの引数 (文字列。argv0 を除く)
exec.args_flagsプロセス引数のフラグ
exec.args_optionsオプションとしてのプロセスの引数
exec.args_truncated引数の切り捨てのインジケーター
exec.argvプロセスの引数 (配列。argv0 を除く)
exec.argv0プロセスの第一引数
exec.cap_effectiveプロセスの有効なケイパビリティセット
exec.cap_permittedプロセスの許可されたケイパビリティセット
exec.commプロセスの Comm 属性
exec.container.idコンテナ ID
exec.created_atプロセス作成時のタイムスタンプ
exec.egidプロセスの有効な GID
exec.egroupプロセスの有効なグループ
exec.envpプロセスの環境変数
exec.envsプロセスの環境変数名
exec.envs_truncated環境変数の切り捨てのインジケーター
exec.euidプロセスの有効な UID
exec.euserプロセスの有効なユーザー
exec.file.change_timeファイルの変更時間
exec.file.filesystemファイルの filesystem
exec.file.gidファイルの所有者の GID
exec.file.groupファイルの所有者のグループ
exec.file.hashes[実験] このファイルに対して計算された暗号ハッシュのリスト
exec.file.in_upper_layerファイルレイヤーのインジケーター (例えば OverlayFS の場合)
exec.file.inodeファイルの Inode
exec.file.modeファイルのモード
exec.file.modification_timeファイルの修正時間
exec.file.mount_idファイルのマウント ID
exec.file.nameファイルのベース名
exec.file.name.length対応する文字列の長さ
exec.file.package.name[試験運用] このファイルを提供したパッケージの名前
exec.file.package.source_version[試験運用] このファイルを提供したパッケージのソースパッケージの正式バージョン名
exec.file.package.version[試験運用] このファイルを提供したパッケージの正式バージョン名
exec.file.pathファイルのパス
exec.file.path.length対応する文字列の長さ
exec.file.rightsファイルの権限
exec.file.uidファイルの所有者の UID
exec.file.userファイルの所有者のユーザー
exec.fsgidプロセスの FileSystem-gid
exec.fsgroupプロセスの FileSystem-group
exec.fsuidプロセスの FileSystem-uid
exec.fsuserプロセスの FileSystem-user
exec.gidプロセスの GID
exec.groupプロセスのグループ
exec.interpreter.file.change_timeファイルの変更時間
exec.interpreter.file.filesystemファイルの filesystem
exec.interpreter.file.gidファイルの所有者の GID
exec.interpreter.file.groupファイルの所有者のグループ
exec.interpreter.file.hashes[実験] このファイルに対して計算された暗号ハッシュのリスト
exec.interpreter.file.in_upper_layerファイルレイヤーのインジケーター (例えば OverlayFS の場合)
exec.interpreter.file.inodeファイルの Inode
exec.interpreter.file.modeファイルのモード
exec.interpreter.file.modification_timeファイルの修正時間
exec.interpreter.file.mount_idファイルのマウント ID
exec.interpreter.file.nameファイルのベース名
exec.interpreter.file.name.length対応する文字列の長さ
exec.interpreter.file.package.name[試験運用] このファイルを提供したパッケージの名前
exec.interpreter.file.package.source_version[試験運用] このファイルを提供したパッケージのソースパッケージの正式バージョン名
exec.interpreter.file.package.version[試験運用] このファイルを提供したパッケージの正式バージョン名
exec.interpreter.file.pathファイルのパス
exec.interpreter.file.path.length対応する文字列の長さ
exec.interpreter.file.rightsファイルの権限
exec.interpreter.file.uidファイルの所有者の UID
exec.interpreter.file.userファイルの所有者のユーザー
exec.is_kworkerプロセスが kworker であるかどうかを示します
exec.is_threadプロセスがスレッド (他のプログラムを実行していない子プロセス) とみなされているかどうかを示します
exec.pidプロセスのプロセス ID (スレッドグループ ID とも呼ばれる)
exec.ppid親プロセス ID
exec.tidスレッドのスレッド ID
exec.tty_nameプロセスに関連する TTY の名前
exec.uidプロセスの UID
exec.userプロセスのユーザー

イベント exit

プロセスが終了した

プロパティ定義
exit.argsプロセスの引数 (文字列。argv0 を除く)
exit.args_flagsプロセス引数のフラグ
exit.args_optionsオプションとしてのプロセスの引数
exit.args_truncated引数の切り捨てのインジケーター
exit.argvプロセスの引数 (配列。argv0 を除く)
exit.argv0プロセスの第一引数
exit.cap_effectiveプロセスの有効なケイパビリティセット
exit.cap_permittedプロセスの許可されたケイパビリティセット
exit.causeプロセス終了の原因 (EXITED、SIGNALED、COREDUMPED のいずれか 1 つ)
exit.codeプロセスの終了コード、またはプロセスを終了させたシグナルの番号
exit.commプロセスの Comm 属性
exit.container.idコンテナ ID
exit.created_atプロセス作成時のタイムスタンプ
exit.egidプロセスの有効な GID
exit.egroupプロセスの有効なグループ
exit.envpプロセスの環境変数
exit.envsプロセスの環境変数名
exit.envs_truncated環境変数の切り捨てのインジケーター
exit.euidプロセスの有効な UID
exit.euserプロセスの有効なユーザー
exit.file.change_timeファイルの変更時間
exit.file.filesystemファイルの filesystem
exit.file.gidファイルの所有者の GID
exit.file.groupファイルの所有者のグループ
exit.file.hashes[実験] このファイルに対して計算された暗号ハッシュのリスト
exit.file.in_upper_layerファイルレイヤーのインジケーター (例えば OverlayFS の場合)
exit.file.inodeファイルの Inode
exit.file.modeファイルのモード
exit.file.modification_timeファイルの修正時間
exit.file.mount_idファイルのマウント ID
exit.file.nameファイルのベース名
exit.file.name.length対応する文字列の長さ
exit.file.package.name[試験運用] このファイルを提供したパッケージの名前
exit.file.package.source_version[試験運用] このファイルを提供したパッケージのソースパッケージの正式バージョン名
exit.file.package.version[試験運用] このファイルを提供したパッケージの正式バージョン名
exit.file.pathファイルのパス
exit.file.path.length対応する文字列の長さ
exit.file.rightsファイルの権限
exit.file.uidファイルの所有者の UID
exit.file.userファイルの所有者のユーザー
exit.fsgidプロセスの FileSystem-gid
exit.fsgroupプロセスの FileSystem-group
exit.fsuidプロセスの FileSystem-uid
exit.fsuserプロセスの FileSystem-user
exit.gidプロセスの GID
exit.groupプロセスのグループ
exit.interpreter.file.change_timeファイルの変更時間
exit.interpreter.file.filesystemファイルの filesystem
exit.interpreter.file.gidファイルの所有者の GID
exit.interpreter.file.groupファイルの所有者のグループ
exit.interpreter.file.hashes[実験] このファイルに対して計算された暗号ハッシュのリスト
exit.interpreter.file.in_upper_layerファイルレイヤーのインジケーター (例えば OverlayFS の場合)
exit.interpreter.file.inodeファイルの Inode
exit.interpreter.file.modeファイルのモード
exit.interpreter.file.modification_timeファイルの修正時間
exit.interpreter.file.mount_idファイルのマウント ID
exit.interpreter.file.nameファイルのベース名
exit.interpreter.file.name.length対応する文字列の長さ
exit.interpreter.file.package.name[試験運用] このファイルを提供したパッケージの名前
exit.interpreter.file.package.source_version[試験運用] このファイルを提供したパッケージのソースパッケージの正式バージョン名
exit.interpreter.file.package.version[試験運用] このファイルを提供したパッケージの正式バージョン名
exit.interpreter.file.pathファイルのパス
exit.interpreter.file.path.length対応する文字列の長さ
exit.interpreter.file.rightsファイルの権限
exit.interpreter.file.uidファイルの所有者の UID
exit.interpreter.file.userファイルの所有者のユーザー
exit.is_kworkerプロセスが kworker であるかどうかを示します
exit.is_threadプロセスがスレッド (他のプログラムを実行していない子プロセス) とみなされているかどうかを示します
exit.pidプロセスのプロセス ID (スレッドグループ ID とも呼ばれる)
exit.ppid親プロセス ID
exit.tidスレッドのスレッド ID
exit.tty_nameプロセスに関連する TTY の名前
exit.uidプロセスの UID
exit.userプロセスのユーザー

ファイルの新しい名前/エイリアスを作成する

プロパティ定義
link.file.change_timeファイルの変更時間
link.file.destination.change_timeファイルの変更時間
link.file.destination.filesystemファイルの filesystem
link.file.destination.gidファイルの所有者の GID
link.file.destination.groupファイルの所有者のグループ
link.file.destination.hashes[実験] このファイルに対して計算された暗号ハッシュのリスト
link.file.destination.in_upper_layerファイルレイヤーのインジケーター (例えば OverlayFS の場合)
link.file.destination.inodeファイルの Inode
link.file.destination.modeファイルのモード
link.file.destination.modification_timeファイルの修正時間
link.file.destination.mount_idファイルのマウント ID
link.file.destination.nameファイルのベース名
link.file.destination.name.length対応する文字列の長さ
link.file.destination.package.name[試験運用] このファイルを提供したパッケージの名前
link.file.destination.package.source_version[試験運用] このファイルを提供したパッケージのソースパッケージの正式バージョン名
link.file.destination.package.version[試験運用] このファイルを提供したパッケージの正式バージョン名
link.file.destination.pathファイルのパス
link.file.destination.path.length対応する文字列の長さ
link.file.destination.rightsファイルの権限
link.file.destination.uidファイルの所有者の UID
link.file.destination.userファイルの所有者のユーザー
link.file.filesystemファイルの filesystem
link.file.gidファイルの所有者の GID
link.file.groupファイルの所有者のグループ
link.file.hashes[実験] このファイルに対して計算された暗号ハッシュのリスト
link.file.in_upper_layerファイルレイヤーのインジケーター (例えば OverlayFS の場合)
link.file.inodeファイルの Inode
link.file.modeファイルのモード
link.file.modification_timeファイルの修正時間
link.file.mount_idファイルのマウント ID
link.file.nameファイルのベース名
link.file.name.length対応する文字列の長さ
link.file.package.name[試験運用] このファイルを提供したパッケージの名前
link.file.package.source_version[試験運用] このファイルを提供したパッケージのソースパッケージの正式バージョン名
link.file.package.version[試験運用] このファイルを提供したパッケージの正式バージョン名
link.file.pathファイルのパス
link.file.path.length対応する文字列の長さ
link.file.rightsファイルの権限
link.file.uidファイルの所有者の UID
link.file.userファイルの所有者のユーザー
link.retvalsyscall の戻り値

イベント load_module

新しいカーネルモジュールがロードされた

プロパティ定義
load_module.args新しいカーネルモジュールのパラメーター (文字列)
load_module.args_truncated引数が切り捨てられたか否かを示します
load_module.argv新しいカーネルモジュールのパラメーター (配列)
load_module.file.change_timeファイルの変更時間
load_module.file.filesystemファイルの filesystem
load_module.file.gidファイルの所有者の GID
load_module.file.groupファイルの所有者のグループ
load_module.file.hashes[実験] このファイルに対して計算された暗号ハッシュのリスト
load_module.file.in_upper_layerファイルレイヤーのインジケーター (例えば OverlayFS の場合)
load_module.file.inodeファイルの Inode
load_module.file.modeファイルのモード
load_module.file.modification_timeファイルの修正時間
load_module.file.mount_idファイルのマウント ID
load_module.file.nameファイルのベース名
load_module.file.name.length対応する文字列の長さ
load_module.file.package.name[試験運用] このファイルを提供したパッケージの名前
load_module.file.package.source_version[試験運用] このファイルを提供したパッケージのソースパッケージの正式バージョン名
load_module.file.package.version[試験運用] このファイルを提供したパッケージの正式バージョン名
load_module.file.pathファイルのパス
load_module.file.path.length対応する文字列の長さ
load_module.file.rightsファイルの権限
load_module.file.uidファイルの所有者の UID
load_module.file.userファイルの所有者のユーザー
load_module.loaded_from_memoryカーネルモジュールがメモリからロードされたかどうかを示す
load_module.name新しいカーネルモジュールの名前
load_module.retvalsyscall の戻り値

イベント mkdir

ディレクトリが作成された

プロパティ定義
mkdir.file.change_timeファイルの変更時間
mkdir.file.destination.mode新しいディレクトリのモード
mkdir.file.destination.rights新しいディレクトリの権限
mkdir.file.filesystemファイルの filesystem
mkdir.file.gidファイルの所有者の GID
mkdir.file.groupファイルの所有者のグループ
mkdir.file.hashes[実験] このファイルに対して計算された暗号ハッシュのリスト
mkdir.file.in_upper_layerファイルレイヤーのインジケーター (例えば OverlayFS の場合)
mkdir.file.inodeファイルの Inode
mkdir.file.modeファイルのモード
mkdir.file.modification_timeファイルの修正時間
mkdir.file.mount_idファイルのマウント ID
mkdir.file.nameファイルのベース名
mkdir.file.name.length対応する文字列の長さ
mkdir.file.package.name[試験運用] このファイルを提供したパッケージの名前
mkdir.file.package.source_version[試験運用] このファイルを提供したパッケージのソースパッケージの正式バージョン名
mkdir.file.package.version[試験運用] このファイルを提供したパッケージの正式バージョン名
mkdir.file.pathファイルのパス
mkdir.file.path.length対応する文字列の長さ
mkdir.file.rightsファイルの権限
mkdir.file.uidファイルの所有者の UID
mkdir.file.userファイルの所有者のユーザー
mkdir.retvalsyscall の戻り値

イベント mmap

mmap コマンドが実行された

プロパティ定義
mmap.file.change_timeファイルの変更時間
mmap.file.filesystemファイルの filesystem
mmap.file.gidファイルの所有者の GID
mmap.file.groupファイルの所有者のグループ
mmap.file.hashes[実験] このファイルに対して計算された暗号ハッシュのリスト
mmap.file.in_upper_layerファイルレイヤーのインジケーター (例えば OverlayFS の場合)
mmap.file.inodeファイルの Inode
mmap.file.modeファイルのモード
mmap.file.modification_timeファイルの修正時間
mmap.file.mount_idファイルのマウント ID
mmap.file.nameファイルのベース名
mmap.file.name.length対応する文字列の長さ
mmap.file.package.name[試験運用] このファイルを提供したパッケージの名前
mmap.file.package.source_version[試験運用] このファイルを提供したパッケージのソースパッケージの正式バージョン名
mmap.file.package.version[試験運用] このファイルを提供したパッケージの正式バージョン名
mmap.file.pathファイルのパス
mmap.file.path.length対応する文字列の長さ
mmap.file.rightsファイルの権限
mmap.file.uidファイルの所有者の UID
mmap.file.userファイルの所有者のユーザー
mmap.flagsメモリセグメントフラグ
mmap.protectionメモリセグメント保護
mmap.retvalsyscall の戻り値

イベント mount

このイベントタイプは実験的なものであり、将来的に変更される可能性があります。

ファイルシステムがマウントされました

プロパティ定義
mount.fs_typeマウントされたファイルシステムの種類
mount.mountpoint.pathマウントポイントのパス
mount.retvalsyscall の戻り値
mount.source.pathバインドマウントのソースパス

イベント mprotect

mprotect コマンドが実行された

プロパティ定義
mprotect.req_protection新規メモリセグメント保護
mprotect.retvalsyscall の戻り値
mprotect.vm_protection初期メモリセグメント保護

イベント open

ファイルが開かれた

プロパティ定義
open.file.change_timeファイルの変更時間
open.file.destination.mode作成されたファイルのモード
open.file.filesystemファイルの filesystem
open.file.gidファイルの所有者の GID
open.file.groupファイルの所有者のグループ
open.file.hashes[実験] このファイルに対して計算された暗号ハッシュのリスト
open.file.in_upper_layerファイルレイヤーのインジケーター (例えば OverlayFS の場合)
open.file.inodeファイルの Inode
open.file.modeファイルのモード
open.file.modification_timeファイルの修正時間
open.file.mount_idファイルのマウント ID
open.file.nameファイルのベース名
open.file.name.length対応する文字列の長さ
open.file.package.name[試験運用] このファイルを提供したパッケージの名前
open.file.package.source_version[試験運用] このファイルを提供したパッケージのソースパッケージの正式バージョン名
open.file.package.version[試験運用] このファイルを提供したパッケージの正式バージョン名
open.file.pathファイルのパス
open.file.path.length対応する文字列の長さ
open.file.rightsファイルの権限
open.file.uidファイルの所有者の UID
open.file.userファイルの所有者のユーザー
open.flagsファイルを開く際に使用するフラグ
open.retvalsyscall の戻り値

イベント ptrace

ptrace コマンドが実行された

プロパティ定義
ptrace.requestptrace リクエスト
ptrace.retvalsyscall の戻り値
ptrace.tracee.ancestors.argsプロセスの引数 (文字列。argv0 を除く)
ptrace.tracee.ancestors.args_flagsプロセス引数のフラグ
ptrace.tracee.ancestors.args_optionsオプションとしてのプロセスの引数
ptrace.tracee.ancestors.args_truncated引数の切り捨てのインジケーター
ptrace.tracee.ancestors.argvプロセスの引数 (配列。argv0 を除く)
ptrace.tracee.ancestors.argv0プロセスの第一引数
ptrace.tracee.ancestors.cap_effectiveプロセスの有効なケイパビリティセット
ptrace.tracee.ancestors.cap_permittedプロセスの許可されたケイパビリティセット
ptrace.tracee.ancestors.commプロセスの Comm 属性
ptrace.tracee.ancestors.container.idコンテナ ID
ptrace.tracee.ancestors.created_atプロセス作成時のタイムスタンプ
ptrace.tracee.ancestors.egidプロセスの有効な GID
ptrace.tracee.ancestors.egroupプロセスの有効なグループ
ptrace.tracee.ancestors.envpプロセスの環境変数
ptrace.tracee.ancestors.envsプロセスの環境変数名
ptrace.tracee.ancestors.envs_truncated環境変数の切り捨てのインジケーター
ptrace.tracee.ancestors.euidプロセスの有効な UID
ptrace.tracee.ancestors.euserプロセスの有効なユーザー
ptrace.tracee.ancestors.file.change_timeファイルの変更時間
ptrace.tracee.ancestors.file.filesystemファイルの filesystem
ptrace.tracee.ancestors.file.gidファイルの所有者の GID
ptrace.tracee.ancestors.file.groupファイルの所有者のグループ
ptrace.tracee.ancestors.file.hashes[実験] このファイルに対して計算された暗号ハッシュのリスト
ptrace.tracee.ancestors.file.in_upper_layerファイルレイヤーのインジケーター (例えば OverlayFS の場合)
ptrace.tracee.ancestors.file.inodeファイルの Inode
ptrace.tracee.ancestors.file.modeファイルのモード
ptrace.tracee.ancestors.file.modification_timeファイルの修正時間
ptrace.tracee.ancestors.file.mount_idファイルのマウント ID
ptrace.tracee.ancestors.file.nameファイルのベース名
ptrace.tracee.ancestors.file.name.length対応する文字列の長さ
ptrace.tracee.ancestors.file.package.name[試験運用] このファイルを提供したパッケージの名前
ptrace.tracee.ancestors.file.package.source_version[試験運用] このファイルを提供したパッケージのソースパッケージの正式バージョン名
ptrace.tracee.ancestors.file.package.version[試験運用] このファイルを提供したパッケージの正式バージョン名
ptrace.tracee.ancestors.file.pathファイルのパス
ptrace.tracee.ancestors.file.path.length対応する文字列の長さ
ptrace.tracee.ancestors.file.rightsファイルの権限
ptrace.tracee.ancestors.file.uidファイルの所有者の UID
ptrace.tracee.ancestors.file.userファイルの所有者のユーザー
ptrace.tracee.ancestors.fsgidプロセスの FileSystem-gid
ptrace.tracee.ancestors.fsgroupプロセスの FileSystem-group
ptrace.tracee.ancestors.fsuidプロセスの FileSystem-uid
ptrace.tracee.ancestors.fsuserプロセスの FileSystem-user
ptrace.tracee.ancestors.gidプロセスの GID
ptrace.tracee.ancestors.groupプロセスのグループ
ptrace.tracee.ancestors.interpreter.file.change_timeファイルの変更時間
ptrace.tracee.ancestors.interpreter.file.filesystemファイルの filesystem
ptrace.tracee.ancestors.interpreter.file.gidファイルの所有者の GID
ptrace.tracee.ancestors.interpreter.file.groupファイルの所有者のグループ
ptrace.tracee.ancestors.interpreter.file.hashes[実験] このファイルに対して計算された暗号ハッシュのリスト
ptrace.tracee.ancestors.interpreter.file.in_upper_layerファイルレイヤーのインジケーター (例えば OverlayFS の場合)
ptrace.tracee.ancestors.interpreter.file.inodeファイルの Inode
ptrace.tracee.ancestors.interpreter.file.modeファイルのモード
ptrace.tracee.ancestors.interpreter.file.modification_timeファイルの修正時間
ptrace.tracee.ancestors.interpreter.file.mount_idファイルのマウント ID
ptrace.tracee.ancestors.interpreter.file.nameファイルのベース名
ptrace.tracee.ancestors.interpreter.file.name.length対応する文字列の長さ
ptrace.tracee.ancestors.interpreter.file.package.name[試験運用] このファイルを提供したパッケージの名前
ptrace.tracee.ancestors.interpreter.file.package.source_version[試験運用] このファイルを提供したパッケージのソースパッケージの正式バージョン名
ptrace.tracee.ancestors.interpreter.file.package.version[試験運用] このファイルを提供したパッケージの正式バージョン名
ptrace.tracee.ancestors.interpreter.file.pathファイルのパス
ptrace.tracee.ancestors.interpreter.file.path.length対応する文字列の長さ
ptrace.tracee.ancestors.interpreter.file.rightsファイルの権限
ptrace.tracee.ancestors.interpreter.file.uidファイルの所有者の UID
ptrace.tracee.ancestors.interpreter.file.userファイルの所有者のユーザー
ptrace.tracee.ancestors.is_kworkerプロセスが kworker であるかどうかを示します
ptrace.tracee.ancestors.is_threadプロセスがスレッド (他のプログラムを実行していない子プロセス) とみなされているかどうかを示します
ptrace.tracee.ancestors.pidプロセスのプロセス ID (スレッドグループ ID とも呼ばれる)
ptrace.tracee.ancestors.ppid親プロセス ID
ptrace.tracee.ancestors.tidスレッドのスレッド ID
ptrace.tracee.ancestors.tty_nameプロセスに関連する TTY の名前
ptrace.tracee.ancestors.uidプロセスの UID
ptrace.tracee.ancestors.userプロセスのユーザー
ptrace.tracee.argsプロセスの引数 (文字列。argv0 を除く)
ptrace.tracee.args_flagsプロセス引数のフラグ
ptrace.tracee.args_optionsオプションとしてのプロセスの引数
ptrace.tracee.args_truncated引数の切り捨てのインジケーター
ptrace.tracee.argvプロセスの引数 (配列。argv0 を除く)
ptrace.tracee.argv0プロセスの第一引数
ptrace.tracee.cap_effectiveプロセスの有効なケイパビリティセット
ptrace.tracee.cap_permittedプロセスの許可されたケイパビリティセット
ptrace.tracee.commプロセスの Comm 属性
ptrace.tracee.container.idコンテナ ID
ptrace.tracee.created_atプロセス作成時のタイムスタンプ
ptrace.tracee.egidプロセスの有効な GID
ptrace.tracee.egroupプロセスの有効なグループ
ptrace.tracee.envpプロセスの環境変数
ptrace.tracee.envsプロセスの環境変数名
ptrace.tracee.envs_truncated環境変数の切り捨てのインジケーター
ptrace.tracee.euidプロセスの有効な UID
ptrace.tracee.euserプロセスの有効なユーザー
ptrace.tracee.file.change_timeファイルの変更時間
ptrace.tracee.file.filesystemファイルの filesystem
ptrace.tracee.file.gidファイルの所有者の GID
ptrace.tracee.file.groupファイルの所有者のグループ
ptrace.tracee.file.hashes[実験] このファイルに対して計算された暗号ハッシュのリスト
ptrace.tracee.file.in_upper_layerファイルレイヤーのインジケーター (例えば OverlayFS の場合)
ptrace.tracee.file.inodeファイルの Inode
ptrace.tracee.file.modeファイルのモード
ptrace.tracee.file.modification_timeファイルの修正時間
ptrace.tracee.file.mount_idファイルのマウント ID
ptrace.tracee.file.nameファイルのベース名
ptrace.tracee.file.name.length対応する文字列の長さ
ptrace.tracee.file.package.name[試験運用] このファイルを提供したパッケージの名前
ptrace.tracee.file.package.source_version[試験運用] このファイルを提供したパッケージのソースパッケージの正式バージョン名
ptrace.tracee.file.package.version[試験運用] このファイルを提供したパッケージの正式バージョン名
ptrace.tracee.file.pathファイルのパス
ptrace.tracee.file.path.length対応する文字列の長さ
ptrace.tracee.file.rightsファイルの権限
ptrace.tracee.file.uidファイルの所有者の UID
ptrace.tracee.file.userファイルの所有者のユーザー
ptrace.tracee.fsgidプロセスの FileSystem-gid
ptrace.tracee.fsgroupプロセスの FileSystem-group
ptrace.tracee.fsuidプロセスの FileSystem-uid
ptrace.tracee.fsuserプロセスの FileSystem-user
ptrace.tracee.gidプロセスの GID
ptrace.tracee.groupプロセスのグループ
ptrace.tracee.interpreter.file.change_timeファイルの変更時間
ptrace.tracee.interpreter.file.filesystemファイルの filesystem
ptrace.tracee.interpreter.file.gidファイルの所有者の GID
ptrace.tracee.interpreter.file.groupファイルの所有者のグループ
ptrace.tracee.interpreter.file.hashes[実験] このファイルに対して計算された暗号ハッシュのリスト
ptrace.tracee.interpreter.file.in_upper_layerファイルレイヤーのインジケーター (例えば OverlayFS の場合)
ptrace.tracee.interpreter.file.inodeファイルの Inode
ptrace.tracee.interpreter.file.modeファイルのモード
ptrace.tracee.interpreter.file.modification_timeファイルの修正時間
ptrace.tracee.interpreter.file.mount_idファイルのマウント ID
ptrace.tracee.interpreter.file.nameファイルのベース名
ptrace.tracee.interpreter.file.name.length対応する文字列の長さ
ptrace.tracee.interpreter.file.package.name[試験運用] このファイルを提供したパッケージの名前
ptrace.tracee.interpreter.file.package.source_version[試験運用] このファイルを提供したパッケージのソースパッケージの正式バージョン名
ptrace.tracee.interpreter.file.package.version[試験運用] このファイルを提供したパッケージの正式バージョン名
ptrace.tracee.interpreter.file.pathファイルのパス
ptrace.tracee.interpreter.file.path.length対応する文字列の長さ
ptrace.tracee.interpreter.file.rightsファイルの権限
ptrace.tracee.interpreter.file.uidファイルの所有者の UID
ptrace.tracee.interpreter.file.userファイルの所有者のユーザー
ptrace.tracee.is_kworkerプロセスが kworker であるかどうかを示します
ptrace.tracee.is_threadプロセスがスレッド (他のプログラムを実行していない子プロセス) とみなされているかどうかを示します
ptrace.tracee.parent.argsプロセスの引数 (文字列。argv0 を除く)
ptrace.tracee.parent.args_flagsプロセス引数のフラグ
ptrace.tracee.parent.args_optionsオプションとしてのプロセスの引数
ptrace.tracee.parent.args_truncated引数の切り捨てのインジケーター
ptrace.tracee.parent.argvプロセスの引数 (配列。argv0 を除く)
ptrace.tracee.parent.argv0プロセスの第一引数
ptrace.tracee.parent.cap_effectiveプロセスの有効なケイパビリティセット
ptrace.tracee.parent.cap_permittedプロセスの許可されたケイパビリティセット
ptrace.tracee.parent.commプロセスの Comm 属性
ptrace.tracee.parent.container.idコンテナ ID
ptrace.tracee.parent.created_atプロセス作成時のタイムスタンプ
ptrace.tracee.parent.egidプロセスの有効な GID
ptrace.tracee.parent.egroupプロセスの有効なグループ
ptrace.tracee.parent.envpプロセスの環境変数
ptrace.tracee.parent.envsプロセスの環境変数名
ptrace.tracee.parent.envs_truncated環境変数の切り捨てのインジケーター
ptrace.tracee.parent.euidプロセスの有効な UID
ptrace.tracee.parent.euserプロセスの有効なユーザー
ptrace.tracee.parent.file.change_timeファイルの変更時間
ptrace.tracee.parent.file.filesystemファイルの filesystem
ptrace.tracee.parent.file.gidファイルの所有者の GID
ptrace.tracee.parent.file.groupファイルの所有者のグループ
ptrace.tracee.parent.file.hashes[実験] このファイルに対して計算された暗号ハッシュのリスト
ptrace.tracee.parent.file.in_upper_layerファイルレイヤーのインジケーター (例えば OverlayFS の場合)
ptrace.tracee.parent.file.inodeファイルの Inode
ptrace.tracee.parent.file.modeファイルのモード
ptrace.tracee.parent.file.modification_timeファイルの修正時間
ptrace.tracee.parent.file.mount_idファイルのマウント ID
ptrace.tracee.parent.file.nameファイルのベース名
ptrace.tracee.parent.file.name.length対応する文字列の長さ
ptrace.tracee.parent.file.package.name[試験運用] このファイルを提供したパッケージの名前
ptrace.tracee.parent.file.package.source_version[試験運用] このファイルを提供したパッケージのソースパッケージの正式バージョン名
ptrace.tracee.parent.file.package.version[試験運用] このファイルを提供したパッケージの正式バージョン名
ptrace.tracee.parent.file.pathファイルのパス
ptrace.tracee.parent.file.path.length対応する文字列の長さ
ptrace.tracee.parent.file.rightsファイルの権限
ptrace.tracee.parent.file.uidファイルの所有者の UID
ptrace.tracee.parent.file.userファイルの所有者のユーザー
ptrace.tracee.parent.fsgidプロセスの FileSystem-gid
ptrace.tracee.parent.fsgroupプロセスの FileSystem-group
ptrace.tracee.parent.fsuidプロセスの FileSystem-uid
ptrace.tracee.parent.fsuserプロセスの FileSystem-user
ptrace.tracee.parent.gidプロセスの GID
ptrace.tracee.parent.groupプロセスのグループ
ptrace.tracee.parent.interpreter.file.change_timeファイルの変更時間
ptrace.tracee.parent.interpreter.file.filesystemファイルの filesystem
ptrace.tracee.parent.interpreter.file.gidファイルの所有者の GID
ptrace.tracee.parent.interpreter.file.groupファイルの所有者のグループ
ptrace.tracee.parent.interpreter.file.hashes[実験] このファイルに対して計算された暗号ハッシュのリスト
ptrace.tracee.parent.interpreter.file.in_upper_layerファイルレイヤーのインジケーター (例えば OverlayFS の場合)
ptrace.tracee.parent.interpreter.file.inodeファイルの Inode
ptrace.tracee.parent.interpreter.file.modeファイルのモード
ptrace.tracee.parent.interpreter.file.modification_timeファイルの修正時間
ptrace.tracee.parent.interpreter.file.mount_idファイルのマウント ID
ptrace.tracee.parent.interpreter.file.nameファイルのベース名
ptrace.tracee.parent.interpreter.file.name.length対応する文字列の長さ
ptrace.tracee.parent.interpreter.file.package.name[試験運用] このファイルを提供したパッケージの名前
ptrace.tracee.parent.interpreter.file.package.source_version[試験運用] このファイルを提供したパッケージのソースパッケージの正式バージョン名
ptrace.tracee.parent.interpreter.file.package.version[試験運用] このファイルを提供したパッケージの正式バージョン名
ptrace.tracee.parent.interpreter.file.pathファイルのパス
ptrace.tracee.parent.interpreter.file.path.length対応する文字列の長さ
ptrace.tracee.parent.interpreter.file.rightsファイルの権限
ptrace.tracee.parent.interpreter.file.uidファイルの所有者の UID
ptrace.tracee.parent.interpreter.file.userファイルの所有者のユーザー
ptrace.tracee.parent.is_kworkerプロセスが kworker であるかどうかを示します
ptrace.tracee.parent.is_threadプロセスがスレッド (他のプログラムを実行していない子プロセス) とみなされているかどうかを示します
ptrace.tracee.parent.pidプロセスのプロセス ID (スレッドグループ ID とも呼ばれる)
ptrace.tracee.parent.ppid親プロセス ID
ptrace.tracee.parent.tidスレッドのスレッド ID
ptrace.tracee.parent.tty_nameプロセスに関連する TTY の名前
ptrace.tracee.parent.uidプロセスの UID
ptrace.tracee.parent.userプロセスのユーザー
ptrace.tracee.pidプロセスのプロセス ID (スレッドグループ ID とも呼ばれる)
ptrace.tracee.ppid親プロセス ID
ptrace.tracee.tidスレッドのスレッド ID
ptrace.tracee.tty_nameプロセスに関連する TTY の名前
ptrace.tracee.uidプロセスの UID
ptrace.tracee.userプロセスのユーザー

イベント removexattr

拡張属性を削除する

プロパティ定義
removexattr.file.change_timeファイルの変更時間
removexattr.file.destination.name拡張属性の名前
removexattr.file.destination.namespace拡張属性のネームスペース
removexattr.file.filesystemファイルの filesystem
removexattr.file.gidファイルの所有者の GID
removexattr.file.groupファイルの所有者のグループ
removexattr.file.hashes[実験] このファイルに対して計算された暗号ハッシュのリスト
removexattr.file.in_upper_layerファイルレイヤーのインジケーター (例えば OverlayFS の場合)
removexattr.file.inodeファイルの Inode
removexattr.file.modeファイルのモード
removexattr.file.modification_timeファイルの修正時間
removexattr.file.mount_idファイルのマウント ID
removexattr.file.nameファイルのベース名
removexattr.file.name.length対応する文字列の長さ
removexattr.file.package.name[試験運用] このファイルを提供したパッケージの名前
removexattr.file.package.source_version[試験運用] このファイルを提供したパッケージのソースパッケージの正式バージョン名
removexattr.file.package.version[試験運用] このファイルを提供したパッケージの正式バージョン名
removexattr.file.pathファイルのパス
removexattr.file.path.length対応する文字列の長さ
removexattr.file.rightsファイルの権限
removexattr.file.uidファイルの所有者の UID
removexattr.file.userファイルの所有者のユーザー
removexattr.retvalsyscall の戻り値

イベント rename

ファイル/ディレクトリの名前が変更された

プロパティ定義
rename.file.change_timeファイルの変更時間
rename.file.destination.change_timeファイルの変更時間
rename.file.destination.filesystemファイルの filesystem
rename.file.destination.gidファイルの所有者の GID
rename.file.destination.groupファイルの所有者のグループ
rename.file.destination.hashes[実験] このファイルに対して計算された暗号ハッシュのリスト
rename.file.destination.in_upper_layerファイルレイヤーのインジケーター (例えば OverlayFS の場合)
rename.file.destination.inodeファイルの Inode
rename.file.destination.modeファイルのモード
rename.file.destination.modification_timeファイルの修正時間
rename.file.destination.mount_idファイルのマウント ID
rename.file.destination.nameファイルのベース名
rename.file.destination.name.length対応する文字列の長さ
rename.file.destination.package.name[試験運用] このファイルを提供したパッケージの名前
rename.file.destination.package.source_version[試験運用] このファイルを提供したパッケージのソースパッケージの正式バージョン名
rename.file.destination.package.version[試験運用] このファイルを提供したパッケージの正式バージョン名
rename.file.destination.pathファイルのパス
rename.file.destination.path.length対応する文字列の長さ
rename.file.destination.rightsファイルの権限
rename.file.destination.uidファイルの所有者の UID
rename.file.destination.userファイルの所有者のユーザー
rename.file.filesystemファイルの filesystem
rename.file.gidファイルの所有者の GID
rename.file.groupファイルの所有者のグループ
rename.file.hashes[実験] このファイルに対して計算された暗号ハッシュのリスト
rename.file.in_upper_layerファイルレイヤーのインジケーター (例えば OverlayFS の場合)
rename.file.inodeファイルの Inode
rename.file.modeファイルのモード
rename.file.modification_timeファイルの修正時間
rename.file.mount_idファイルのマウント ID
rename.file.nameファイルのベース名
rename.file.name.length対応する文字列の長さ
rename.file.package.name[試験運用] このファイルを提供したパッケージの名前
rename.file.package.source_version[試験運用] このファイルを提供したパッケージのソースパッケージの正式バージョン名
rename.file.package.version[試験運用] このファイルを提供したパッケージの正式バージョン名
rename.file.pathファイルのパス
rename.file.path.length対応する文字列の長さ
rename.file.rightsファイルの権限
rename.file.uidファイルの所有者の UID
rename.file.userファイルの所有者のユーザー
rename.retvalsyscall の戻り値

イベント rmdir

ディレクトリが削除された

プロパティ定義
rmdir.file.change_timeファイルの変更時間
rmdir.file.filesystemファイルの filesystem
rmdir.file.gidファイルの所有者の GID
rmdir.file.groupファイルの所有者のグループ
rmdir.file.hashes[実験] このファイルに対して計算された暗号ハッシュのリスト
rmdir.file.in_upper_layerファイルレイヤーのインジケーター (例えば OverlayFS の場合)
rmdir.file.inodeファイルの Inode
rmdir.file.modeファイルのモード
rmdir.file.modification_timeファイルの修正時間
rmdir.file.mount_idファイルのマウント ID
rmdir.file.nameファイルのベース名
rmdir.file.name.length対応する文字列の長さ
rmdir.file.package.name[試験運用] このファイルを提供したパッケージの名前
rmdir.file.package.source_version[試験運用] このファイルを提供したパッケージのソースパッケージの正式バージョン名
rmdir.file.package.version[試験運用] このファイルを提供したパッケージの正式バージョン名
rmdir.file.pathファイルのパス
rmdir.file.path.length対応する文字列の長さ
rmdir.file.rightsファイルの権限
rmdir.file.uidファイルの所有者の UID
rmdir.file.userファイルの所有者のユーザー
rmdir.retvalsyscall の戻り値

イベント selinux

SELinux 操作が実行された

プロパティ定義
selinux.bool.nameSELinux ブール値名
selinux.bool.stateSELinux のブール値の新しい値
selinux.bool_commit.stateSELinux のブールコミット演算のインジケーター
selinux.enforce.statusSELinux の実行ステータス (“enforcing”、“permissive”、“disabled” のいずれか 1 つ)

イベント setgid

あるプロセスが有効な gid を変更した

プロパティ定義
setgid.egidプロセスの新しい有効な GID
setgid.egroupプロセスの新しい有効なグループ
setgid.fsgidプロセスの新しい FileSystem GID
setgid.fsgroupプロセスの新しい FileSystem グループ
setgid.gidプロセスの新しい GID
setgid.groupプロセスの新しいグループ

イベント setuid

あるプロセスが有効な uid を変更した

プロパティ定義
setuid.euidプロセスの新しい有効な UID
setuid.euserプロセスの新しい有効なユーザー
setuid.fsuidプロセスの新しい FileSystem UID
setuid.fsuserプロセスの新しい FileSystem ユーザー
setuid.uidプロセスの新しい UID
setuid.userプロセスの新しいユーザー

イベント setxattr

拡張属性を設定する

プロパティ定義
setxattr.file.change_timeファイルの変更時間
setxattr.file.destination.name拡張属性の名前
setxattr.file.destination.namespace拡張属性のネームスペース
setxattr.file.filesystemファイルの filesystem
setxattr.file.gidファイルの所有者の GID
setxattr.file.groupファイルの所有者のグループ
setxattr.file.hashes[実験] このファイルに対して計算された暗号ハッシュのリスト
setxattr.file.in_upper_layerファイルレイヤーのインジケーター (例えば OverlayFS の場合)
setxattr.file.inodeファイルの Inode
setxattr.file.modeファイルのモード
setxattr.file.modification_timeファイルの修正時間
setxattr.file.mount_idファイルのマウント ID
setxattr.file.nameファイルのベース名
setxattr.file.name.length対応する文字列の長さ
setxattr.file.package.name[試験運用] このファイルを提供したパッケージの名前
setxattr.file.package.source_version[試験運用] このファイルを提供したパッケージのソースパッケージの正式バージョン名
setxattr.file.package.version[試験運用] このファイルを提供したパッケージの正式バージョン名
setxattr.file.pathファイルのパス
setxattr.file.path.length対応する文字列の長さ
setxattr.file.rightsファイルの権限
setxattr.file.uidファイルの所有者の UID
setxattr.file.userファイルの所有者のユーザー
setxattr.retvalsyscall の戻り値

イベント signal

シグナルが送信された

プロパティ定義
signal.pidターゲット PID
signal.retvalsyscall の戻り値
signal.target.ancestors.argsプロセスの引数 (文字列。argv0 を除く)
signal.target.ancestors.args_flagsプロセス引数のフラグ
signal.target.ancestors.args_optionsオプションとしてのプロセスの引数
signal.target.ancestors.args_truncated引数の切り捨てのインジケーター
signal.target.ancestors.argvプロセスの引数 (配列。argv0 を除く)
signal.target.ancestors.argv0プロセスの第一引数
signal.target.ancestors.cap_effectiveプロセスの有効なケイパビリティセット
signal.target.ancestors.cap_permittedプロセスの許可されたケイパビリティセット
signal.target.ancestors.commプロセスの Comm 属性
signal.target.ancestors.container.idコンテナ ID
signal.target.ancestors.created_atプロセス作成時のタイムスタンプ
signal.target.ancestors.egidプロセスの有効な GID
signal.target.ancestors.egroupプロセスの有効なグループ
signal.target.ancestors.envpプロセスの環境変数
signal.target.ancestors.envsプロセスの環境変数名
signal.target.ancestors.envs_truncated環境変数の切り捨てのインジケーター
signal.target.ancestors.euidプロセスの有効な UID
signal.target.ancestors.euserプロセスの有効なユーザー
signal.target.ancestors.file.change_timeファイルの変更時間
signal.target.ancestors.file.filesystemファイルの filesystem
signal.target.ancestors.file.gidファイルの所有者の GID
signal.target.ancestors.file.groupファイルの所有者のグループ
signal.target.ancestors.file.hashes[実験] このファイルに対して計算された暗号ハッシュのリスト
signal.target.ancestors.file.in_upper_layerファイルレイヤーのインジケーター (例えば OverlayFS の場合)
signal.target.ancestors.file.inodeファイルの Inode
signal.target.ancestors.file.modeファイルのモード
signal.target.ancestors.file.modification_timeファイルの修正時間
signal.target.ancestors.file.mount_idファイルのマウント ID
signal.target.ancestors.file.nameファイルのベース名
signal.target.ancestors.file.name.length対応する文字列の長さ
signal.target.ancestors.file.package.name[試験運用] このファイルを提供したパッケージの名前
signal.target.ancestors.file.package.source_version[試験運用] このファイルを提供したパッケージのソースパッケージの正式バージョン名
signal.target.ancestors.file.package.version[試験運用] このファイルを提供したパッケージの正式バージョン名
signal.target.ancestors.file.pathファイルのパス
signal.target.ancestors.file.path.length対応する文字列の長さ
signal.target.ancestors.file.rightsファイルの権限
signal.target.ancestors.file.uidファイルの所有者の UID
signal.target.ancestors.file.userファイルの所有者のユーザー
signal.target.ancestors.fsgidプロセスの FileSystem-gid
signal.target.ancestors.fsgroupプロセスの FileSystem-group
signal.target.ancestors.fsuidプロセスの FileSystem-uid
signal.target.ancestors.fsuserプロセスの FileSystem-user
signal.target.ancestors.gidプロセスの GID
signal.target.ancestors.groupプロセスのグループ
signal.target.ancestors.interpreter.file.change_timeファイルの変更時間
signal.target.ancestors.interpreter.file.filesystemファイルの filesystem
signal.target.ancestors.interpreter.file.gidファイルの所有者の GID
signal.target.ancestors.interpreter.file.groupファイルの所有者のグループ
signal.target.ancestors.interpreter.file.hashes[実験] このファイルに対して計算された暗号ハッシュのリスト
signal.target.ancestors.interpreter.file.in_upper_layerファイルレイヤーのインジケーター (例えば OverlayFS の場合)
signal.target.ancestors.interpreter.file.inodeファイルの Inode
signal.target.ancestors.interpreter.file.modeファイルのモード
signal.target.ancestors.interpreter.file.modification_timeファイルの修正時間
signal.target.ancestors.interpreter.file.mount_idファイルのマウント ID
signal.target.ancestors.interpreter.file.nameファイルのベース名
signal.target.ancestors.interpreter.file.name.length対応する文字列の長さ
signal.target.ancestors.interpreter.file.package.name[試験運用] このファイルを提供したパッケージの名前
signal.target.ancestors.interpreter.file.package.source_version[試験運用] このファイルを提供したパッケージのソースパッケージの正式バージョン名
signal.target.ancestors.interpreter.file.package.version[試験運用] このファイルを提供したパッケージの正式バージョン名
signal.target.ancestors.interpreter.file.pathファイルのパス
signal.target.ancestors.interpreter.file.path.length対応する文字列の長さ
signal.target.ancestors.interpreter.file.rightsファイルの権限
signal.target.ancestors.interpreter.file.uidファイルの所有者の UID
signal.target.ancestors.interpreter.file.userファイルの所有者のユーザー
signal.target.ancestors.is_kworkerプロセスが kworker であるかどうかを示します
signal.target.ancestors.is_threadプロセスがスレッド (他のプログラムを実行していない子プロセス) とみなされているかどうかを示します
signal.target.ancestors.pidプロセスのプロセス ID (スレッドグループ ID とも呼ばれる)
signal.target.ancestors.ppid親プロセス ID
signal.target.ancestors.tidスレッドのスレッド ID
signal.target.ancestors.tty_nameプロセスに関連する TTY の名前
signal.target.ancestors.uidプロセスの UID
signal.target.ancestors.userプロセスのユーザー
signal.target.argsプロセスの引数 (文字列。argv0 を除く)
signal.target.args_flagsプロセス引数のフラグ
signal.target.args_optionsオプションとしてのプロセスの引数
signal.target.args_truncated引数の切り捨てのインジケーター
signal.target.argvプロセスの引数 (配列。argv0 を除く)
signal.target.argv0プロセスの第一引数
signal.target.cap_effectiveプロセスの有効なケイパビリティセット
signal.target.cap_permittedプロセスの許可されたケイパビリティセット
signal.target.commプロセスの Comm 属性
signal.target.container.idコンテナ ID
signal.target.created_atプロセス作成時のタイムスタンプ
signal.target.egidプロセスの有効な GID
signal.target.egroupプロセスの有効なグループ
signal.target.envpプロセスの環境変数
signal.target.envsプロセスの環境変数名
signal.target.envs_truncated環境変数の切り捨てのインジケーター
signal.target.euidプロセスの有効な UID
signal.target.euserプロセスの有効なユーザー
signal.target.file.change_timeファイルの変更時間
signal.target.file.filesystemファイルの filesystem
signal.target.file.gidファイルの所有者の GID
signal.target.file.groupファイルの所有者のグループ
signal.target.file.hashes[実験] このファイルに対して計算された暗号ハッシュのリスト
signal.target.file.in_upper_layerファイルレイヤーのインジケーター (例えば OverlayFS の場合)
signal.target.file.inodeファイルの Inode
signal.target.file.modeファイルのモード
signal.target.file.modification_timeファイルの修正時間
signal.target.file.mount_idファイルのマウント ID
signal.target.file.nameファイルのベース名
signal.target.file.name.length対応する文字列の長さ
signal.target.file.package.name[試験運用] このファイルを提供したパッケージの名前
signal.target.file.package.source_version[試験運用] このファイルを提供したパッケージのソースパッケージの正式バージョン名
signal.target.file.package.version[試験運用] このファイルを提供したパッケージの正式バージョン名
signal.target.file.pathファイルのパス
signal.target.file.path.length対応する文字列の長さ
signal.target.file.rightsファイルの権限
signal.target.file.uidファイルの所有者の UID
signal.target.file.userファイルの所有者のユーザー
signal.target.fsgidプロセスの FileSystem-gid
signal.target.fsgroupプロセスの FileSystem-group
signal.target.fsuidプロセスの FileSystem-uid
signal.target.fsuserプロセスの FileSystem-user
signal.target.gidプロセスの GID
signal.target.groupプロセスのグループ
signal.target.interpreter.file.change_timeファイルの変更時間
signal.target.interpreter.file.filesystemファイルの filesystem
signal.target.interpreter.file.gidファイルの所有者の GID
signal.target.interpreter.file.groupファイルの所有者のグループ
signal.target.interpreter.file.hashes[実験] このファイルに対して計算された暗号ハッシュのリスト
signal.target.interpreter.file.in_upper_layerファイルレイヤーのインジケーター (例えば OverlayFS の場合)
signal.target.interpreter.file.inodeファイルの Inode
signal.target.interpreter.file.modeファイルのモード
signal.target.interpreter.file.modification_timeファイルの修正時間
signal.target.interpreter.file.mount_idファイルのマウント ID
signal.target.interpreter.file.nameファイルのベース名
signal.target.interpreter.file.name.length対応する文字列の長さ
signal.target.interpreter.file.package.name[試験運用] このファイルを提供したパッケージの名前
signal.target.interpreter.file.package.source_version[試験運用] このファイルを提供したパッケージのソースパッケージの正式バージョン名
signal.target.interpreter.file.package.version[試験運用] このファイルを提供したパッケージの正式バージョン名
signal.target.interpreter.file.pathファイルのパス
signal.target.interpreter.file.path.length対応する文字列の長さ
signal.target.interpreter.file.rightsファイルの権限
signal.target.interpreter.file.uidファイルの所有者の UID
signal.target.interpreter.file.userファイルの所有者のユーザー
signal.target.is_kworkerプロセスが kworker であるかどうかを示します
signal.target.is_threadプロセスがスレッド (他のプログラムを実行していない子プロセス) とみなされているかどうかを示します
signal.target.parent.argsプロセスの引数 (文字列。argv0 を除く)
signal.target.parent.args_flagsプロセス引数のフラグ
signal.target.parent.args_optionsオプションとしてのプロセスの引数
signal.target.parent.args_truncated引数の切り捨てのインジケーター
signal.target.parent.argvプロセスの引数 (配列。argv0 を除く)
signal.target.parent.argv0プロセスの第一引数
signal.target.parent.cap_effectiveプロセスの有効なケイパビリティセット
signal.target.parent.cap_permittedプロセスの許可されたケイパビリティセット
signal.target.parent.commプロセスの Comm 属性
signal.target.parent.container.idコンテナ ID
signal.target.parent.created_atプロセス作成時のタイムスタンプ
signal.target.parent.egidプロセスの有効な GID
signal.target.parent.egroupプロセスの有効なグループ
signal.target.parent.envpプロセスの環境変数
signal.target.parent.envsプロセスの環境変数名
signal.target.parent.envs_truncated環境変数の切り捨てのインジケーター
signal.target.parent.euidプロセスの有効な UID
signal.target.parent.euserプロセスの有効なユーザー
signal.target.parent.file.change_timeファイルの変更時間
signal.target.parent.file.filesystemファイルの filesystem
signal.target.parent.file.gidファイルの所有者の GID
signal.target.parent.file.groupファイルの所有者のグループ
signal.target.parent.file.hashes[実験] このファイルに対して計算された暗号ハッシュのリスト
signal.target.parent.file.in_upper_layerファイルレイヤーのインジケーター (例えば OverlayFS の場合)
signal.target.parent.file.inodeファイルの Inode
signal.target.parent.file.modeファイルのモード
signal.target.parent.file.modification_timeファイルの修正時間
signal.target.parent.file.mount_idファイルのマウント ID
signal.target.parent.file.nameファイルのベース名
signal.target.parent.file.name.length対応する文字列の長さ
signal.target.parent.file.package.name[試験運用] このファイルを提供したパッケージの名前
signal.target.parent.file.package.source_version[試験運用] このファイルを提供したパッケージのソースパッケージの正式バージョン名
signal.target.parent.file.package.version[試験運用] このファイルを提供したパッケージの正式バージョン名
signal.target.parent.file.pathファイルのパス
signal.target.parent.file.path.length対応する文字列の長さ
signal.target.parent.file.rightsファイルの権限
signal.target.parent.file.uidファイルの所有者の UID
signal.target.parent.file.userファイルの所有者のユーザー
signal.target.parent.fsgidプロセスの FileSystem-gid
signal.target.parent.fsgroupプロセスの FileSystem-group
signal.target.parent.fsuidプロセスの FileSystem-uid
signal.target.parent.fsuserプロセスの FileSystem-user
signal.target.parent.gidプロセスの GID
signal.target.parent.groupプロセスのグループ
signal.target.parent.interpreter.file.change_timeファイルの変更時間
signal.target.parent.interpreter.file.filesystemファイルの filesystem
signal.target.parent.interpreter.file.gidファイルの所有者の GID
signal.target.parent.interpreter.file.groupファイルの所有者のグループ
signal.target.parent.interpreter.file.hashes[実験] このファイルに対して計算された暗号ハッシュのリスト
signal.target.parent.interpreter.file.in_upper_layerファイルレイヤーのインジケーター (例えば OverlayFS の場合)
signal.target.parent.interpreter.file.inodeファイルの Inode
signal.target.parent.interpreter.file.modeファイルのモード
signal.target.parent.interpreter.file.modification_timeファイルの修正時間
signal.target.parent.interpreter.file.mount_idファイルのマウント ID
signal.target.parent.interpreter.file.nameファイルのベース名
signal.target.parent.interpreter.file.name.length対応する文字列の長さ
signal.target.parent.interpreter.file.package.name[試験運用] このファイルを提供したパッケージの名前
signal.target.parent.interpreter.file.package.source_version[試験運用] このファイルを提供したパッケージのソースパッケージの正式バージョン名
signal.target.parent.interpreter.file.package.version[試験運用] このファイルを提供したパッケージの正式バージョン名
signal.target.parent.interpreter.file.pathファイルのパス
signal.target.parent.interpreter.file.path.length対応する文字列の長さ
signal.target.parent.interpreter.file.rightsファイルの権限
signal.target.parent.interpreter.file.uidファイルの所有者の UID
signal.target.parent.interpreter.file.userファイルの所有者のユーザー
signal.target.parent.is_kworkerプロセスが kworker であるかどうかを示します
signal.target.parent.is_threadプロセスがスレッド (他のプログラムを実行していない子プロセス) とみなされているかどうかを示します
signal.target.parent.pidプロセスのプロセス ID (スレッドグループ ID とも呼ばれる)
signal.target.parent.ppid親プロセス ID
signal.target.parent.tidスレッドのスレッド ID
signal.target.parent.tty_nameプロセスに関連する TTY の名前
signal.target.parent.uidプロセスの UID
signal.target.parent.userプロセスのユーザー
signal.target.pidプロセスのプロセス ID (スレッドグループ ID とも呼ばれる)
signal.target.ppid親プロセス ID
signal.target.tidスレッドのスレッド ID
signal.target.tty_nameプロセスに関連する TTY の名前
signal.target.uidプロセスの UID
signal.target.userプロセスのユーザー
signal.typeシグナルの種類 (例: SIGHUP、SIGINT、SIGQUIT など)

イベント splice

splice コマンドが実行された

プロパティ定義
splice.file.change_timeファイルの変更時間
splice.file.filesystemファイルの filesystem
splice.file.gidファイルの所有者の GID
splice.file.groupファイルの所有者のグループ
splice.file.hashes[実験] このファイルに対して計算された暗号ハッシュのリスト
splice.file.in_upper_layerファイルレイヤーのインジケーター (例えば OverlayFS の場合)
splice.file.inodeファイルの Inode
splice.file.modeファイルのモード
splice.file.modification_timeファイルの修正時間
splice.file.mount_idファイルのマウント ID
splice.file.nameファイルのベース名
splice.file.name.length対応する文字列の長さ
splice.file.package.name[試験運用] このファイルを提供したパッケージの名前
splice.file.package.source_version[試験運用] このファイルを提供したパッケージのソースパッケージの正式バージョン名
splice.file.package.version[試験運用] このファイルを提供したパッケージの正式バージョン名
splice.file.pathファイルのパス
splice.file.path.length対応する文字列の長さ
splice.file.rightsファイルの権限
splice.file.uidファイルの所有者の UID
splice.file.userファイルの所有者のユーザー
splice.pipe_entry_flagsplice syscall に渡された “fd_out” パイプのエントリフラグ
splice.pipe_exit_flagsplice syscall に渡された “fd_out” パイプの終了フラグ
splice.retvalsyscall の戻り値

ファイルが削除された

プロパティ定義
unlink.file.change_timeファイルの変更時間
unlink.file.filesystemファイルの filesystem
unlink.file.gidファイルの所有者の GID
unlink.file.groupファイルの所有者のグループ
unlink.file.hashes[実験] このファイルに対して計算された暗号ハッシュのリスト
unlink.file.in_upper_layerファイルレイヤーのインジケーター (例えば OverlayFS の場合)
unlink.file.inodeファイルの Inode
unlink.file.modeファイルのモード
unlink.file.modification_timeファイルの修正時間
unlink.file.mount_idファイルのマウント ID
unlink.file.nameファイルのベース名
unlink.file.name.length対応する文字列の長さ
unlink.file.package.name[試験運用] このファイルを提供したパッケージの名前
unlink.file.package.source_version[試験運用] このファイルを提供したパッケージのソースパッケージの正式バージョン名
unlink.file.package.version[試験運用] このファイルを提供したパッケージの正式バージョン名
unlink.file.pathファイルのパス
unlink.file.path.length対応する文字列の長さ
unlink.file.rightsファイルの権限
unlink.file.uidファイルの所有者の UID
unlink.file.userファイルの所有者のユーザー
unlink.flagsアンリンク syscall のフラグ
unlink.retvalsyscall の戻り値

イベント unload_module

カーネルモジュールが削除された

プロパティ定義
unload_module.name削除されたカーネルモジュールの名前
unload_module.retvalsyscall の戻り値

イベント utimes

ファイルのアクセス/変更時間を変更する

プロパティ定義
utimes.file.change_timeファイルの変更時間
utimes.file.filesystemファイルの filesystem
utimes.file.gidファイルの所有者の GID
utimes.file.groupファイルの所有者のグループ
utimes.file.hashes[実験] このファイルに対して計算された暗号ハッシュのリスト
utimes.file.in_upper_layerファイルレイヤーのインジケーター (例えば OverlayFS の場合)
utimes.file.inodeファイルの Inode
utimes.file.modeファイルのモード
utimes.file.modification_timeファイルの修正時間
utimes.file.mount_idファイルのマウント ID
utimes.file.nameファイルのベース名
utimes.file.name.length対応する文字列の長さ
utimes.file.package.name[試験運用] このファイルを提供したパッケージの名前
utimes.file.package.source_version[試験運用] このファイルを提供したパッケージのソースパッケージの正式バージョン名
utimes.file.package.version[試験運用] このファイルを提供したパッケージの正式バージョン名
utimes.file.pathファイルのパス
utimes.file.path.length対応する文字列の長さ
utimes.file.rightsファイルの権限
utimes.file.uidファイルの所有者の UID
utimes.file.userファイルの所有者のユーザー
utimes.retvalsyscall の戻り値

属性ドキュメント

*.args

タイプ: 文字列

定義: プロセスの引数 (文字列。argv0 を除く)

*.args には 11 個のプレフィックスを付けることができます。 exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent

例:

exec.args == "-sV -p 22,53,110,143,4564 198.116.0-255.1-127"

これらの正確な引数を持つ任意のプロセスにマッチします。

例:

exec.args =~ "* -F * http*"

“http” で始まる引数の前に “-F " 引数を持つプロセスにマッチします。

*.args_flags

タイプ: 文字列

定義: プロセス引数のフラグ

*.args_flags には 11 個のプレフィックスを付けることができます。 exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent

例:

exec.args_flags in ["s"] && exec.args_flags in ["V"]

引数に “-s” と “-V” フラグを持つプロセスにマッチします。また、"-sV” にもマッチします。

*.args_options

タイプ: 文字列

定義: オプションとしてのプロセスの引数

*.args_options には 11 個のプレフィックスを付けることができます。 exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent

例:

exec.args_options in ["p=0-1024"]

引数に “-p 0-1024” または “–p=0-1024” が含まれるプロセスにマッチします。

*.args_truncated

タイプ: ブール

定義: 引数の切り捨てのインジケーター

*.args_truncated には 11 個のプレフィックスを付けることができます。 exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent

*.argv

タイプ: 文字列

定義: プロセスの引数 (配列。argv0 を除く)

*.argv には 11 個のプレフィックスを付けることができます。 exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent

例:

exec.argv in ["127.0.0.1"]

この IP アドレスを引数の 1 つとして持つすべてのプロセスにマッチします。

*.argv0

タイプ: 文字列

定義: プロセスの第一引数

*.argv0 には 11 個のプレフィックスを付けることができます。 exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent

*.cap_effective

タイプ: 整数

定義: プロセスの有効なケイパビリティセット

*.cap_effective には 11 個のプレフィックスを付けることができます。 exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent

定数: カーネルケイパビリティ定数

*.cap_permitted

タイプ: 整数

定義: プロセスの許可されたケイパビリティセット

*.cap_permitted には 11 個のプレフィックスを付けることができます。 exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent

定数: カーネルケイパビリティ定数

*.change_time

タイプ: 整数

定義: ファイルの変更時間

*.change_time には 38 個のプレフィックスを付けることができます。 chmod.file chown.file exec.file exec.interpreter.file exit.file exit.interpreter.file link.file link.file.destination load_module.file mkdir.file mmap.file open.file process.ancestors.file process.ancestors.interpreter.file process.file process.interpreter.file process.parent.file process.parent.interpreter.file ptrace.tracee.ancestors.file ptrace.tracee.ancestors.interpreter.file ptrace.tracee.file ptrace.tracee.interpreter.file ptrace.tracee.parent.file ptrace.tracee.parent.interpreter.file removexattr.file rename.file rename.file.destination rmdir.file setxattr.file signal.target.ancestors.file signal.target.ancestors.interpreter.file signal.target.file signal.target.interpreter.file signal.target.parent.file signal.target.parent.interpreter.file splice.file unlink.file utimes.file

*.comm

タイプ: 文字列

定義: プロセスの Comm 属性

*.comm には 11 個のプレフィックスを付けることができます。 exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent

*.container.id

タイプ: 文字列

定義: コンテナ ID

*.container.id には 11 個のプレフィックスを付けることができます。 exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent

*.created_at

タイプ: 整数

定義: プロセス作成時のタイムスタンプ

*.created_at には 11 個のプレフィックスを付けることができます。 exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent

*.egid

タイプ: 整数

定義: プロセスの有効な GID

*.egid には 11 個のプレフィックスを付けることができます。 exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent

*.egroup

タイプ: 文字列

定義: プロセスの有効なグループ

*.egroup には 11 個のプレフィックスを付けることができます。 exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent

*.envp

タイプ: 文字列

定義: プロセスの環境変数

*.envp には 11 個のプレフィックスを付けることができます。 exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent

*.envs

タイプ: 文字列

定義: プロセスの環境変数名

*.envs には 11 個のプレフィックスを付けることができます。 exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent

*.envs_truncated

タイプ: ブール

定義: 環境変数の切り捨てのインジケーター

*.envs_truncated には 11 個のプレフィックスを付けることができます。 exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent

*.euid

タイプ: 整数

定義: プロセスの有効な UID

*.euid には 11 個のプレフィックスを付けることができます。 exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent

*.euser

タイプ: 文字列

定義: プロセスの有効なユーザー

*.euser には 11 個のプレフィックスを付けることができます。 exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent

*.file.destination.name

タイプ: 文字列

定義: 拡張属性の名前

*.file.destination.name には 2 個のプレフィックスを付けることができます。 removexattr setxattr

*.file.destination.namespace

タイプ: 文字列

定義: 拡張属性のネームスペース

*.file.destination.namespace には 2 個のプレフィックスを付けることができます。 removexattr setxattr

*.filesystem

タイプ: 文字列

定義: ファイルのファイルシステム

*.filesystem には 38 個のプレフィックスを付けることができます。 chmod.file chown.file exec.file exec.interpreter.file exit.file exit.interpreter.file link.file link.file.destination load_module.file mkdir.file mmap.file open.file process.ancestors.file process.ancestors.interpreter.file process.file process.interpreter.file process.parent.file process.parent.interpreter.file ptrace.tracee.ancestors.file ptrace.tracee.ancestors.interpreter.file ptrace.tracee.file ptrace.tracee.interpreter.file ptrace.tracee.parent.file ptrace.tracee.parent.interpreter.file removexattr.file rename.file rename.file.destination rmdir.file setxattr.file signal.target.ancestors.file signal.target.ancestors.interpreter.file signal.target.file signal.target.interpreter.file signal.target.parent.file signal.target.parent.interpreter.file splice.file unlink.file utimes.file

*.fsgid

タイプ: 整数

定義: プロセスの FileSystem-gid

*.fsgid には 11 個のプレフィックスを付けることができます。 exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent

*.fsgroup

タイプ: 文字列

定義: プロセスの FileSystem-group

*.fsgroup には 11 個のプレフィックスを付けることができます。 exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent

*.fsuid

タイプ: 整数

定義: プロセスの FileSystem-uid

*.fsuid には 11 個のプレフィックスを付けることができます。 exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent

*.fsuser

タイプ: 文字列

定義: プロセスの FileSystem-user

*.fsuser には 11 個のプレフィックスを付けることができます。 exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent

*.gid

タイプ: 整数

定義: プロセスの GID

*.gid には 11 個のプレフィックスを付けることができます。 exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent

*.gid

タイプ: 整数

定義: ファイルの所有者の GID

*.gid には 38 個のプレフィックスを付けることができます。 chmod.file chown.file exec.file exec.interpreter.file exit.file exit.interpreter.file link.file link.file.destination load_module.file mkdir.file mmap.file open.file process.ancestors.file process.ancestors.interpreter.file process.file process.interpreter.file process.parent.file process.parent.interpreter.file ptrace.tracee.ancestors.file ptrace.tracee.ancestors.interpreter.file ptrace.tracee.file ptrace.tracee.interpreter.file ptrace.tracee.parent.file ptrace.tracee.parent.interpreter.file removexattr.file rename.file rename.file.destination rmdir.file setxattr.file signal.target.ancestors.file signal.target.ancestors.interpreter.file signal.target.file signal.target.interpreter.file signal.target.parent.file signal.target.parent.interpreter.file splice.file unlink.file utimes.file

*.group

タイプ: 文字列

定義: プロセスのグループ

*.group には 11 個のプレフィックスを付けることができます。 exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent

*.group

タイプ: 文字列

定義: ファイルの所有者のグループ

*.group には 38 個のプレフィックスを付けることができます。 chmod.file chown.file exec.file exec.interpreter.file exit.file exit.interpreter.file link.file link.file.destination load_module.file mkdir.file mmap.file open.file process.ancestors.file process.ancestors.interpreter.file process.file process.interpreter.file process.parent.file process.parent.interpreter.file ptrace.tracee.ancestors.file ptrace.tracee.ancestors.interpreter.file ptrace.tracee.file ptrace.tracee.interpreter.file ptrace.tracee.parent.file ptrace.tracee.parent.interpreter.file removexattr.file rename.file rename.file.destination rmdir.file setxattr.file signal.target.ancestors.file signal.target.ancestors.interpreter.file signal.target.file signal.target.interpreter.file signal.target.parent.file signal.target.parent.interpreter.file splice.file unlink.file utimes.file

*.hashes

タイプ: 文字列

定義: [実験] このファイルに対して計算された暗号ハッシュのリスト

*.hashes には 38 個のプレフィックスを付けることができます。 chmod.file chown.file exec.file exec.interpreter.file exit.file exit.interpreter.file link.file link.file.destination load_module.file mkdir.file mmap.file open.file process.ancestors.file process.ancestors.interpreter.file process.file process.interpreter.file process.parent.file process.parent.interpreter.file ptrace.tracee.ancestors.file ptrace.tracee.ancestors.interpreter.file ptrace.tracee.file ptrace.tracee.interpreter.file ptrace.tracee.parent.file ptrace.tracee.parent.interpreter.file removexattr.file rename.file rename.file.destination rmdir.file setxattr.file signal.target.ancestors.file signal.target.ancestors.interpreter.file signal.target.file signal.target.interpreter.file signal.target.parent.file signal.target.parent.interpreter.file splice.file unlink.file utimes.file

*.in_upper_layer

タイプ: ブール

定義: ファイルレイヤーのインジケーター (例えば OverlayFS の場合)

*.in_upper_layer には 38 個のプレフィックスを付けることができます。 chmod.file chown.file exec.file exec.interpreter.file exit.file exit.interpreter.file link.file link.file.destination load_module.file mkdir.file mmap.file open.file process.ancestors.file process.ancestors.interpreter.file process.file process.interpreter.file process.parent.file process.parent.interpreter.file ptrace.tracee.ancestors.file ptrace.tracee.ancestors.interpreter.file ptrace.tracee.file ptrace.tracee.interpreter.file ptrace.tracee.parent.file ptrace.tracee.parent.interpreter.file removexattr.file rename.file rename.file.destination rmdir.file setxattr.file signal.target.ancestors.file signal.target.ancestors.interpreter.file signal.target.file signal.target.interpreter.file signal.target.parent.file signal.target.parent.interpreter.file splice.file unlink.file utimes.file

*.inode

タイプ: 整数

定義: ファイルの Inode

*.inode には 38 個のプレフィックスを付けることができます。 chmod.file chown.file exec.file exec.interpreter.file exit.file exit.interpreter.file link.file link.file.destination load_module.file mkdir.file mmap.file open.file process.ancestors.file process.ancestors.interpreter.file process.file process.interpreter.file process.parent.file process.parent.interpreter.file ptrace.tracee.ancestors.file ptrace.tracee.ancestors.interpreter.file ptrace.tracee.file ptrace.tracee.interpreter.file ptrace.tracee.parent.file ptrace.tracee.parent.interpreter.file removexattr.file rename.file rename.file.destination rmdir.file setxattr.file signal.target.ancestors.file signal.target.ancestors.interpreter.file signal.target.file signal.target.interpreter.file signal.target.parent.file signal.target.parent.interpreter.file splice.file unlink.file utimes.file

*.ip

タイプ: IP/CIDR

定義: IPアドレス

*.ip には 3 個のプレフィックスを付けることができます。 bind.addr network.destination network.source

*.is_kworker

タイプ: ブール

定義: プロセスが kworker であるかどうかを示します

*.is_kworker には 11 個のプレフィックスを付けることができます。 exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent

*.is_thread

タイプ: ブール

定義: プロセスがスレッド (他のプログラムを実行していない子プロセス) とみなされているかどうかを示します

*.is_thread には 11 個のプレフィックスを付けることができます。 exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent

*.length

タイプ: 整数

定義: 対応する文字列の長さ

*.length には 77 個のプレフィックスを付けることができます。 chmod.file.name chmod.file.path chown.file.name chown.file.path dns.question.name exec.file.name exec.file.path exec.interpreter.file.name exec.interpreter.file.path exit.file.name exit.file.path exit.interpreter.file.name exit.interpreter.file.path link.file.destination.name link.file.destination.path link.file.name link.file.path load_module.file.name load_module.file.path mkdir.file.name mkdir.file.path mmap.file.name mmap.file.path open.file.name open.file.path process.ancestors.file.name process.ancestors.file.path process.ancestors.interpreter.file.name process.ancestors.interpreter.file.path process.file.name process.file.path process.interpreter.file.name process.interpreter.file.path process.parent.file.name process.parent.file.path process.parent.interpreter.file.name process.parent.interpreter.file.path ptrace.tracee.ancestors.file.name ptrace.tracee.ancestors.file.path ptrace.tracee.ancestors.interpreter.file.name ptrace.tracee.ancestors.interpreter.file.path ptrace.tracee.file.name ptrace.tracee.file.path ptrace.tracee.interpreter.file.name ptrace.tracee.interpreter.file.path ptrace.tracee.parent.file.name ptrace.tracee.parent.file.path ptrace.tracee.parent.interpreter.file.name ptrace.tracee.parent.interpreter.file.path removexattr.file.name removexattr.file.path rename.file.destination.name rename.file.destination.path rename.file.name rename.file.path rmdir.file.name rmdir.file.path setxattr.file.name setxattr.file.path signal.target.ancestors.file.name signal.target.ancestors.file.path signal.target.ancestors.interpreter.file.name signal.target.ancestors.interpreter.file.path signal.target.file.name signal.target.file.path signal.target.interpreter.file.name signal.target.interpreter.file.path signal.target.parent.file.name signal.target.parent.file.path signal.target.parent.interpreter.file.name signal.target.parent.interpreter.file.path splice.file.name splice.file.path unlink.file.name unlink.file.path utimes.file.name utimes.file.path

*.mode

タイプ: 整数

定義: ファイルのモード

*.mode には 38 個のプレフィックスを付けることができます。 chmod.file chown.file exec.file exec.interpreter.file exit.file exit.interpreter.file link.file link.file.destination load_module.file mkdir.file mmap.file open.file process.ancestors.file process.ancestors.interpreter.file process.file process.interpreter.file process.parent.file process.parent.interpreter.file ptrace.tracee.ancestors.file ptrace.tracee.ancestors.interpreter.file ptrace.tracee.file ptrace.tracee.interpreter.file ptrace.tracee.parent.file ptrace.tracee.parent.interpreter.file removexattr.file rename.file rename.file.destination rmdir.file setxattr.file signal.target.ancestors.file signal.target.ancestors.interpreter.file signal.target.file signal.target.interpreter.file signal.target.parent.file signal.target.parent.interpreter.file splice.file unlink.file utimes.file

定数: Inode モード定数

*.modification_time

タイプ: 整数

定義: ファイルの修正時間

*.modification_time には 38 個のプレフィックスを付けることができます。 chmod.file chown.file exec.file exec.interpreter.file exit.file exit.interpreter.file link.file link.file.destination load_module.file mkdir.file mmap.file open.file process.ancestors.file process.ancestors.interpreter.file process.file process.interpreter.file process.parent.file process.parent.interpreter.file ptrace.tracee.ancestors.file ptrace.tracee.ancestors.interpreter.file ptrace.tracee.file ptrace.tracee.interpreter.file ptrace.tracee.parent.file ptrace.tracee.parent.interpreter.file removexattr.file rename.file rename.file.destination rmdir.file setxattr.file signal.target.ancestors.file signal.target.ancestors.interpreter.file signal.target.file signal.target.interpreter.file signal.target.parent.file signal.target.parent.interpreter.file splice.file unlink.file utimes.file

*.mount_id

タイプ: 整数

定義: ファイルのマウント ID

*.mount_id には 38 個のプレフィックスを付けることができます。 chmod.file chown.file exec.file exec.interpreter.file exit.file exit.interpreter.file link.file link.file.destination load_module.file mkdir.file mmap.file open.file process.ancestors.file process.ancestors.interpreter.file process.file process.interpreter.file process.parent.file process.parent.interpreter.file ptrace.tracee.ancestors.file ptrace.tracee.ancestors.interpreter.file ptrace.tracee.file ptrace.tracee.interpreter.file ptrace.tracee.parent.file ptrace.tracee.parent.interpreter.file removexattr.file rename.file rename.file.destination rmdir.file setxattr.file signal.target.ancestors.file signal.target.ancestors.interpreter.file signal.target.file signal.target.interpreter.file signal.target.parent.file signal.target.parent.interpreter.file splice.file unlink.file utimes.file

*.name

タイプ: 文字列

定義: ファイルのベース名

*.name には 38 個のプレフィックスを付けることができます。 chmod.file chown.file exec.file exec.interpreter.file exit.file exit.interpreter.file link.file link.file.destination load_module.file mkdir.file mmap.file open.file process.ancestors.file process.ancestors.interpreter.file process.file process.interpreter.file process.parent.file process.parent.interpreter.file ptrace.tracee.ancestors.file ptrace.tracee.ancestors.interpreter.file ptrace.tracee.file ptrace.tracee.interpreter.file ptrace.tracee.parent.file ptrace.tracee.parent.interpreter.file removexattr.file rename.file rename.file.destination rmdir.file setxattr.file signal.target.ancestors.file signal.target.ancestors.interpreter.file signal.target.file signal.target.interpreter.file signal.target.parent.file signal.target.parent.interpreter.file splice.file unlink.file utimes.file

例:

exec.file.name == "apt"

apt という名前のファイルの実行にマッチします。

*.package.name

タイプ: 文字列

定義: [試験運用] このファイルを提供したパッケージの名前

*.package.name には 38 個のプレフィックスを付けることができます。 chmod.file chown.file exec.file exec.interpreter.file exit.file exit.interpreter.file link.file link.file.destination load_module.file mkdir.file mmap.file open.file process.ancestors.file process.ancestors.interpreter.file process.file process.interpreter.file process.parent.file process.parent.interpreter.file ptrace.tracee.ancestors.file ptrace.tracee.ancestors.interpreter.file ptrace.tracee.file ptrace.tracee.interpreter.file ptrace.tracee.parent.file ptrace.tracee.parent.interpreter.file removexattr.file rename.file rename.file.destination rmdir.file setxattr.file signal.target.ancestors.file signal.target.ancestors.interpreter.file signal.target.file signal.target.interpreter.file signal.target.parent.file signal.target.parent.interpreter.file splice.file unlink.file utimes.file

*.package.source_version

タイプ: 文字列

定義: [試験運用] このファイルを提供したパッケージのソースパッケージの正式バージョン名

*.package.source_version には 38 個のプレフィックスを付けることができます。 chmod.file chown.file exec.file exec.interpreter.file exit.file exit.interpreter.file link.file link.file.destination load_module.file mkdir.file mmap.file open.file process.ancestors.file process.ancestors.interpreter.file process.file process.interpreter.file process.parent.file process.parent.interpreter.file ptrace.tracee.ancestors.file ptrace.tracee.ancestors.interpreter.file ptrace.tracee.file ptrace.tracee.interpreter.file ptrace.tracee.parent.file ptrace.tracee.parent.interpreter.file removexattr.file rename.file rename.file.destination rmdir.file setxattr.file signal.target.ancestors.file signal.target.ancestors.interpreter.file signal.target.file signal.target.interpreter.file signal.target.parent.file signal.target.parent.interpreter.file splice.file unlink.file utimes.file

*.package.version

タイプ: 文字列

定義: [試験運用] このファイルを提供したパッケージの正式バージョン名

*.package.version には 38 個のプレフィックスを付けることができます。 chmod.file chown.file exec.file exec.interpreter.file exit.file exit.interpreter.file link.file link.file.destination load_module.file mkdir.file mmap.file open.file process.ancestors.file process.ancestors.interpreter.file process.file process.interpreter.file process.parent.file process.parent.interpreter.file ptrace.tracee.ancestors.file ptrace.tracee.ancestors.interpreter.file ptrace.tracee.file ptrace.tracee.interpreter.file ptrace.tracee.parent.file ptrace.tracee.parent.interpreter.file removexattr.file rename.file rename.file.destination rmdir.file setxattr.file signal.target.ancestors.file signal.target.ancestors.interpreter.file signal.target.file signal.target.interpreter.file signal.target.parent.file signal.target.parent.interpreter.file splice.file unlink.file utimes.file

*.path

タイプ: 文字列

定義: ファイルのパス

*.path には 38 個のプレフィックスを付けることができます。 chmod.file chown.file exec.file exec.interpreter.file exit.file exit.interpreter.file link.file link.file.destination load_module.file mkdir.file mmap.file open.file process.ancestors.file process.ancestors.interpreter.file process.file process.interpreter.file process.parent.file process.parent.interpreter.file ptrace.tracee.ancestors.file ptrace.tracee.ancestors.interpreter.file ptrace.tracee.file ptrace.tracee.interpreter.file ptrace.tracee.parent.file ptrace.tracee.parent.interpreter.file removexattr.file rename.file rename.file.destination rmdir.file setxattr.file signal.target.ancestors.file signal.target.ancestors.interpreter.file signal.target.file signal.target.interpreter.file signal.target.parent.file signal.target.parent.interpreter.file splice.file unlink.file utimes.file

例:

exec.file.path == "/usr/bin/apt"

usr/bin/apt にあるファイルの実行にマッチします。

例:

open.file.path == "/etc/passwd"

etc/passwd ファイルを開いているすべてのプロセスにマッチします。

*.pid

タイプ: 整数

定義: プロセスのプロセス ID (スレッドグループ ID とも呼ばれる)

*.pid には 11 個のプレフィックスを付けることができます。 exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent

*.port

タイプ: 整数

定義: ポート番号

*.port には 3 個のプレフィックスを付けることができます。 bind.addr network.destination network.source

*.ppid

タイプ: 整数

定義: 親プロセス ID

*.ppid には 11 個のプレフィックスを付けることができます。 exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent

*.retval

タイプ: 整数

定義: syscall の戻り値

*.retval には 21 個のプレフィックスを付けることができます。 bind bpf chmod chown link load_module mkdir mmap mount mprotect open ptrace removexattr rename rmdir setxattr signal splice unlink unload_module utimes

定数: エラー定数

*.rights

タイプ: 整数

定義: ファイルの権限

*.rights には 38 個のプレフィックスを付けることができます。 chmod.file chown.file exec.file exec.interpreter.file exit.file exit.interpreter.file link.file link.file.destination load_module.file mkdir.file mmap.file open.file process.ancestors.file process.ancestors.interpreter.file process.file process.interpreter.file process.parent.file process.parent.interpreter.file ptrace.tracee.ancestors.file ptrace.tracee.ancestors.interpreter.file ptrace.tracee.file ptrace.tracee.interpreter.file ptrace.tracee.parent.file ptrace.tracee.parent.interpreter.file removexattr.file rename.file rename.file.destination rmdir.file setxattr.file signal.target.ancestors.file signal.target.ancestors.interpreter.file signal.target.file signal.target.interpreter.file signal.target.parent.file signal.target.parent.interpreter.file splice.file unlink.file utimes.file

定数: ファイルモード定数

*.tid

タイプ: 整数

定義: スレッドのスレッド ID

*.tid には 11 個のプレフィックスを付けることができます。 exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent

*.tty_name

タイプ: 文字列

定義: プロセスに関連する TTY の名前

*.tty_name には 11 個のプレフィックスを付けることができます。 exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent

*.uid

タイプ: 整数

定義: プロセスの UID

*.uid には 11 個のプレフィックスを付けることができます。 exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent

*.uid

タイプ: 整数

定義: ファイルの所有者の UID

*.uid には 38 個のプレフィックスを付けることができます。 chmod.file chown.file exec.file exec.interpreter.file exit.file exit.interpreter.file link.file link.file.destination load_module.file mkdir.file mmap.file open.file process.ancestors.file process.ancestors.interpreter.file process.file process.interpreter.file process.parent.file process.parent.interpreter.file ptrace.tracee.ancestors.file ptrace.tracee.ancestors.interpreter.file ptrace.tracee.file ptrace.tracee.interpreter.file ptrace.tracee.parent.file ptrace.tracee.parent.interpreter.file removexattr.file rename.file rename.file.destination rmdir.file setxattr.file signal.target.ancestors.file signal.target.ancestors.interpreter.file signal.target.file signal.target.interpreter.file signal.target.parent.file signal.target.parent.interpreter.file splice.file unlink.file utimes.file

*.user

タイプ: 文字列

定義: プロセスのユーザー

*.user には 11 個のプレフィックスを付けることができます。 exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent

例:

process.user == "root"

ルートユーザーとして実行されているプロセスによってトリガーされるイベントを制限します。

*.user

タイプ: 文字列

定義: ファイルの所有者のユーザー

*.user には 38 個のプレフィックスを付けることができます。 chmod.file chown.file exec.file exec.interpreter.file exit.file exit.interpreter.file link.file link.file.destination load_module.file mkdir.file mmap.file open.file process.ancestors.file process.ancestors.interpreter.file process.file process.interpreter.file process.parent.file process.parent.interpreter.file ptrace.tracee.ancestors.file ptrace.tracee.ancestors.interpreter.file ptrace.tracee.file ptrace.tracee.interpreter.file ptrace.tracee.parent.file ptrace.tracee.parent.interpreter.file removexattr.file rename.file rename.file.destination rmdir.file setxattr.file signal.target.ancestors.file signal.target.ancestors.interpreter.file signal.target.file signal.target.interpreter.file signal.target.parent.file signal.target.parent.interpreter.file splice.file unlink.file utimes.file

bind.addr.family

タイプ: 整数

定義: アドレスファミリー

bpf.cmd

タイプ: 整数

定義: BPF コマンド名

定数: BPF コマンド

bpf.map.name

タイプ: 文字列

定義: eBPF マップの名前 (7.35 で追加)

bpf.map.type

タイプ: 整数

定義: eBPF マップのタイプ

定数: BPF マップタイプ

bpf.prog.attach_type

タイプ: 整数

定義: eBPF プログラムのアタッチタイプ

定数: BPF アタッチタイプ

bpf.prog.helpers

タイプ: 整数

定義: eBPF プログラムが使用する eBPF ヘルパー (7.35 で追加)

定数: BPF ヘルパー関数

bpf.prog.name

タイプ: 文字列

定義: eBPF プログラムの名前 (7.35 で追加)

bpf.prog.tag

タイプ: 文字列

定義: eBPF プログラムのハッシュ (sha1) (7.35 で追加)

bpf.prog.type

タイプ: 整数

定義: eBPF プログラムのタイプ

定数: BPF プログラムタイプ

capset.cap_effective

タイプ: 整数

定義: プロセスの有効なケイパビリティセット

定数: カーネルケイパビリティ定数

capset.cap_permitted

タイプ: 整数

定義: プロセスの許可されたケイパビリティセット

定数: カーネルケイパビリティ定数

chmod.file.destination.mode

タイプ: 整数

定義: chmod されたファイルの新しいモード

定数: ファイルモード定数

chmod.file.destination.rights

タイプ: 整数

定義: chmod されたファイルの新しい権限

定数: ファイルモード定数

chown.file.destination.gid

タイプ: 整数

定義: chown されたファイルの所有者の新しい GID

chown.file.destination.group

タイプ: 文字列

定義: chown されたファイルの所有者の新しいグループ

chown.file.destination.uid

タイプ: 整数

定義: chown されたファイルの所有者の新しい UID

chown.file.destination.user

タイプ: 文字列

定義: chown されたファイルの所有者の新しいユーザー

container.created_at

タイプ: 整数

定義: コンテナ作成時のタイムスタンプ

container.id

タイプ: 文字列

定義: コンテナの ID

container.tags

タイプ: 文字列

定義: コンテナのタグ

dns.id

タイプ: 整数

定義: [実験] DNS リクエスト ID

dns.question.class

タイプ: 整数

定義: DNS の質問で調べたクラス

定数: DNS qclasses

dns.question.count

タイプ: 整数

定義: DNS リクエストの質問数の合計

dns.question.length

タイプ: 整数

定義: DNS リクエストの合計サイズ (バイト)

dns.question.name

タイプ: 文字列

定義: クエリ対象のドメイン名

dns.question.type

タイプ: 整数

定義: DNS の質問タイプを指定する 2 オクテットのコード

定数: DNS qtypes

event.async

タイプ: ブール

定義: syscall が非同期の場合、true

event.timestamp

タイプ: 整数

定義: イベントのタイムスタンプ

exit.cause

タイプ: 整数

定義: プロセス終了の原因 (EXITED、SIGNALED、COREDUMPED のいずれか 1 つ)

exit.code

タイプ: 整数

定義: プロセスの終了コード、またはプロセスを終了させたシグナルの番号

load_module.args

タイプ: 文字列

定義: 新しいカーネルモジュールのパラメーター (文字列)

load_module.args_truncated

タイプ: ブール

定義: 引数が切り捨てられたか否かを示します

load_module.argv

タイプ: 文字列

定義: 新しいカーネルモジュールのパラメーター (配列)

load_module.loaded_from_memory

タイプ: ブール

定義: カーネルモジュールがメモリからロードされたかどうかを示す

load_module.name

タイプ: 文字列

定義: 新しいカーネルモジュールの名前

mkdir.file.destination.mode

タイプ: 整数

定義: 新しいディレクトリのモード

定数: ファイルモード定数

mkdir.file.destination.rights

タイプ: 整数

定義: 新しいディレクトリの権限

定数: ファイルモード定数

mmap.flags

タイプ: 整数

定義: メモリセグメントフラグ

定数: MMap フラグ

mmap.protection

タイプ: 整数

定義: メモリセグメント保護

定数: 保護定数

mount.fs_type

タイプ: 文字列

定義: マウントされたファイルシステムの種類

mount.mountpoint.path

タイプ: 文字列

定義: マウントポイントのパス

mount.source.path

タイプ: 文字列

定義: バインドマウントのソースパス

mprotect.req_protection

タイプ: 整数

定義: 新規メモリセグメント保護

定数: 仮想メモリフラグ

mprotect.vm_protection

タイプ: 整数

定義: 初期メモリセグメント保護

定数: 仮想メモリフラグ

network.device.ifindex

タイプ: 整数

定義: インターフェイス ifindex

network.device.ifname

タイプ: 文字列

定義: インターフェイス ifname

network.l3_protocol

タイプ: 整数

定義: ネットワークパケットの l3 プロトコル

定数: L3 プロトコル

network.l4_protocol

タイプ: 整数

定義: ネットワークパケットの l4 プロトコル

定数: L4 プロトコル

network.size

タイプ: 整数

定義: ネットワークパケットのバイト数

open.file.destination.mode

タイプ: 整数

定義: 作成されたファイルのモード

定数: ファイルモード定数

open.flags

タイプ: 整数

定義: ファイルを開く際に使用するフラグ

定数: オープンフラグ

ptrace.request

タイプ: 整数

定義: ptrace リクエスト

定数: Ptrace 定数

selinux.bool.name

タイプ: 文字列

定義: SELinux ブール値名

selinux.bool.state

タイプ: 文字列

定義: SELinux のブール値の新しい値

selinux.bool_commit.state

タイプ: ブール

定義: SELinux のブールコミット演算のインジケーター

selinux.enforce.status

タイプ: 文字列

定義: SELinux の実行ステータス (“enforcing”、“permissive”、“disabled” のいずれか 1 つ)

setgid.egid

タイプ: 整数

定義: プロセスの新しい有効な GID

setgid.egroup

タイプ: 文字列

定義: プロセスの新しい有効なグループ

setgid.fsgid

タイプ: 整数

定義: プロセスの新しい FileSystem GID

setgid.fsgroup

タイプ: 文字列

定義: プロセスの新しい FileSystem グループ

setgid.gid

タイプ: 整数

定義: プロセスの新しい GID

setgid.group

タイプ: 文字列

定義: プロセスの新しいグループ

setuid.euid

タイプ: 整数

定義: プロセスの新しい有効な UID

setuid.euser

タイプ: 文字列

定義: プロセスの新しい有効なユーザー

setuid.fsuid

タイプ: 整数

定義: プロセスの新しい FileSystem UID

setuid.fsuser

タイプ: 文字列

定義: プロセスの新しい FileSystem ユーザー

setuid.uid

タイプ: 整数

定義: プロセスの新しい UID

setuid.user

タイプ: 文字列

定義: プロセスの新しいユーザー

signal.pid

タイプ: 整数

定義: ターゲット PID

signal.type

タイプ: 整数

定義: シグナルの種類 (例: SIGHUP、SIGINT、SIGQUIT など)

定数: シグナル定数

splice.pipe_entry_flag

タイプ: 整数

定義: splice syscall に渡された “fd_out” パイプのエントリフラグ

定数: パイプバッファフラグ

splice.pipe_exit_flag

タイプ: 整数

定義: splice syscall に渡された “fd_out” パイプの終了フラグ

定数: パイプバッファフラグ

タイプ: 整数

定義: アンリンク syscall のフラグ

定数: リンク解除フラグ

unload_module.name

タイプ: 文字列

定義: 削除されたカーネルモジュールの名前

定数

定数は、ルールの可読性を向上させるために使用します。定数には、すべてのアーキテクチャに共通するものと、いくつかのアーキテクチャに固有のものがあります。

BPF attach types

BPF アタッチタイプは、サポートされている eBPF プログラムアタッチタイプです。

名前アーキテクチャ
BPF_CGROUP_INET_INGRESSすべて
BPF_CGROUP_INET_EGRESSすべて
BPF_CGROUP_INET_SOCK_CREATEすべて
BPF_CGROUP_SOCK_OPSすべて
BPF_SK_SKB_STREAM_PARSERすべて
BPF_SK_SKB_STREAM_VERDICTすべて
BPF_CGROUP_DEVICEすべて
BPF_SK_MSG_VERDICTすべて
BPF_CGROUP_INET4_BINDすべて
BPF_CGROUP_INET6_BINDすべて
BPF_CGROUP_INET4_CONNECTすべて
BPF_CGROUP_INET6_CONNECTすべて
BPF_CGROUP_INET4_POST_BINDすべて
BPF_CGROUP_INET6_POST_BINDすべて
BPF_CGROUP_UDP4_SENDMSGすべて
BPF_CGROUP_UDP6_SENDMSGすべて
BPF_LIRC_MODE2すべて
BPF_FLOW_DISSECTORすべて
BPF_CGROUP_SYSCTLすべて
BPF_CGROUP_UDP4_RECVMSGすべて
BPF_CGROUP_UDP6_RECVMSGすべて
BPF_CGROUP_GETSOCKOPTすべて
BPF_CGROUP_SETSOCKOPTすべて
BPF_TRACE_RAW_TPすべて
BPF_TRACE_FENTRYすべて
BPF_TRACE_FEXITすべて
BPF_MODIFY_RETURNすべて
BPF_LSM_MACすべて
BPF_TRACE_ITERすべて
BPF_CGROUP_INET4_GETPEERNAMEすべて
BPF_CGROUP_INET6_GETPEERNAMEすべて
BPF_CGROUP_INET4_GETSOCKNAMEすべて
BPF_CGROUP_INET6_GETSOCKNAMEすべて
BPF_XDP_DEVMAPすべて
BPF_CGROUP_INET_SOCK_RELEASEすべて
BPF_XDP_CPUMAPすべて
BPF_SK_LOOKUPすべて
BPF_XDPすべて
BPF_SK_SKB_VERDICTすべて

BPF commands

BPF コマンドは、bpf syscall へのコマンドを指定するために使用されます。

名前アーキテクチャ
BPF_MAP_CREATEすべて
BPF_MAP_LOOKUP_ELEMすべて
BPF_MAP_UPDATE_ELEMすべて
BPF_MAP_DELETE_ELEMすべて
BPF_MAP_GET_NEXT_KEYすべて
BPF_PROG_LOADすべて
BPF_OBJ_PINすべて
BPF_OBJ_GETすべて
BPF_PROG_ATTACHすべて
BPF_PROG_DETACHすべて
BPF_PROG_TEST_RUNすべて
BPF_PROG_RUNすべて
BPF_PROG_GET_NEXT_IDすべて
BPF_MAP_GET_NEXT_IDすべて
BPF_PROG_GET_FD_BY_IDすべて
BPF_MAP_GET_FD_BY_IDすべて
BPF_OBJ_GET_INFO_BY_FDすべて
BPF_PROG_QUERYすべて
BPF_RAW_TRACEPOINT_OPENすべて
BPF_BTF_LOADすべて
BPF_BTF_GET_FD_BY_IDすべて
BPF_TASK_FD_QUERYすべて
BPF_MAP_LOOKUP_AND_DELETE_ELEMすべて
BPF_MAP_FREEZEすべて
BPF_BTF_GET_NEXT_IDすべて
BPF_MAP_LOOKUP_BATCHすべて
BPF_MAP_LOOKUP_AND_DELETE_BATCHすべて
BPF_MAP_UPDATE_BATCHすべて
BPF_MAP_DELETE_BATCHすべて
BPF_LINK_CREATEすべて
BPF_LINK_UPDATEすべて
BPF_LINK_GET_FD_BY_IDすべて
BPF_LINK_GET_NEXT_IDすべて
BPF_ENABLE_STATSすべて
BPF_ITER_CREATEすべて
BPF_LINK_DETACHすべて
BPF_PROG_BIND_MAPすべて

BPF helper functions

BPF ヘルパー関数は、サポートされている BPF ヘルパー関数です。

名前アーキテクチャ
BPF_UNSPECすべて
BPF_MAP_LOOKUP_ELEMすべて
BPF_MAP_UPDATE_ELEMすべて
BPF_MAP_DELETE_ELEMすべて
BPF_PROBE_READすべて
BPF_KTIME_GET_NSすべて
BPF_TRACE_PRINTKすべて
BPF_GET_PRANDOM_U32すべて
BPF_GET_SMP_PROCESSOR_IDすべて
BPF_SKB_STORE_BYTESすべて
BPF_L3_CSUM_REPLACEすべて
BPF_L4_CSUM_REPLACEすべて
BPF_TAIL_CALLすべて
BPF_CLONE_REDIRECTすべて
BPF_GET_CURRENT_PID_TGIDすべて
BPF_GET_CURRENT_UID_GIDすべて
BPF_GET_CURRENT_COMMすべて
BPF_GET_CGROUP_CLASSIDすべて
BPF_SKB_VLAN_PUSHすべて
BPF_SKB_VLAN_POPすべて
BPF_SKB_GET_TUNNEL_KEYすべて
BPF_SKB_SET_TUNNEL_KEYすべて
BPF_PERF_EVENT_READすべて
BPF_REDIRECTすべて
BPF_GET_ROUTE_REALMすべて
BPF_PERF_EVENT_OUTPUTすべて
BPF_SKB_LOAD_BYTESすべて
BPF_GET_STACKIDすべて
BPF_CSUM_DIFFすべて
BPF_SKB_GET_TUNNEL_OPTすべて
BPF_SKB_SET_TUNNEL_OPTすべて
BPF_SKB_CHANGE_PROTOすべて
BPF_SKB_CHANGE_TYPEすべて
BPF_SKB_UNDER_CGROUPすべて
BPF_GET_HASH_RECALCすべて
BPF_GET_CURRENT_TASKすべて
BPF_PROBE_WRITE_USERすべて
BPF_CURRENT_TASK_UNDER_CGROUPすべて
BPF_SKB_CHANGE_TAILすべて
BPF_SKB_PULL_DATAすべて
BPF_CSUM_UPDATEすべて
BPF_SET_HASH_INVALIDすべて
BPF_GET_NUMA_NODE_IDすべて
BPF_SKB_CHANGE_HEADすべて
BPF_XDP_ADJUST_HEADすべて
BPF_PROBE_READ_STRすべて
BPF_GET_SOCKET_COOKIEすべて
BPF_GET_SOCKET_UIDすべて
BPF_SET_HASHすべて
BPF_SETSOCKOPTすべて
BPF_SKB_ADJUST_ROOMすべて
BPF_REDIRECT_MAPすべて
BPF_SK_REDIRECT_MAPすべて
BPF_SOCK_MAP_UPDATEすべて
BPF_XDP_ADJUST_METAすべて
BPF_PERF_EVENT_READ_VALUEすべて
BPF_PERF_PROG_READ_VALUEすべて
BPF_GETSOCKOPTすべて
BPF_OVERRIDE_RETURNすべて
BPF_SOCK_OPS_CB_FLAGS_SETすべて
BPF_MSG_REDIRECT_MAPすべて
BPF_MSG_APPLY_BYTESすべて
BPF_MSG_CORK_BYTESすべて
BPF_MSG_PULL_DATAすべて
BPF_BINDすべて
BPF_XDP_ADJUST_TAILすべて
BPF_SKB_GET_XFRM_STATEすべて
BPF_GET_STACKすべて
BPF_SKB_LOAD_BYTES_RELATIVEすべて
BPF_FIB_LOOKUPすべて
BPF_SOCK_HASH_UPDATEすべて
BPF_MSG_REDIRECT_HASHすべて
BPF_SK_REDIRECT_HASHすべて
BPF_LWT_PUSH_ENCAPすべて
BPF_LWT_SEG6_STORE_BYTESすべて
BPF_LWT_SEG6_ADJUST_SRHすべて
BPF_LWT_SEG6_ACTIONすべて
BPF_RC_REPEATすべて
BPF_RC_KEYDOWNすべて
BPF_SKB_CGROUP_IDすべて
BPF_GET_CURRENT_CGROUP_IDすべて
BPF_GET_LOCAL_STORAGEすべて
BPF_SK_SELECT_REUSEPORTすべて
BPF_SKB_ANCESTOR_CGROUP_IDすべて
BPF_SK_LOOKUP_TCPすべて
BPF_SK_LOOKUP_UDPすべて
BPF_SK_RELEASEすべて
BPF_MAP_PUSH_ELEMすべて
BPF_MAP_POP_ELEMすべて
BPF_MAP_PEEK_ELEMすべて
BPF_MSG_PUSH_DATAすべて
BPF_MSG_POP_DATAすべて
BPF_RC_POINTER_RELすべて
BPF_SPIN_LOCKすべて
BPF_SPIN_UNLOCKすべて
BPF_SK_FULLSOCKすべて
BPF_TCP_SOCKすべて
BPF_SKB_ECN_SET_CEすべて
BPF_GET_LISTENER_SOCKすべて
BPF_SKC_LOOKUP_TCPすべて
BPF_TCP_CHECK_SYNCOOKIEすべて
BPF_SYSCTL_GET_NAMEすべて
BPF_SYSCTL_GET_CURRENT_VALUEすべて
BPF_SYSCTL_GET_NEW_VALUEすべて
BPF_SYSCTL_SET_NEW_VALUEすべて
BPF_STRTOLすべて
BPF_STRTOULすべて
BPF_SK_STORAGE_GETすべて
BPF_SK_STORAGE_DELETEすべて
BPF_SEND_SIGNALすべて
BPF_TCP_GEN_SYNCOOKIEすべて
BPF_SKB_OUTPUTすべて
BPF_PROBE_READ_USERすべて
BPF_PROBE_READ_KERNELすべて
BPF_PROBE_READ_USER_STRすべて
BPF_PROBE_READ_KERNEL_STRすべて
BPF_TCP_SEND_ACKすべて
BPF_SEND_SIGNAL_THREADすべて
BPF_JIFFIES64すべて
BPF_READ_BRANCH_RECORDSすべて
BPF_GET_NS_CURRENT_PID_TGIDすべて
BPF_XDP_OUTPUTすべて
BPF_GET_NETNS_COOKIEすべて
BPF_GET_CURRENT_ANCESTOR_CGROUP_IDすべて
BPF_SK_ASSIGNすべて
BPF_KTIME_GET_BOOT_NSすべて
BPF_SEQ_PRINTFすべて
BPF_SEQ_WRITEすべて
BPF_SK_CGROUP_IDすべて
BPF_SK_ANCESTOR_CGROUP_IDすべて
BPF_RINGBUF_OUTPUTすべて
BPF_RINGBUF_RESERVEすべて
BPF_RINGBUF_SUBMITすべて
BPF_RINGBUF_DISCARDすべて
BPF_RINGBUF_QUERYすべて
BPF_CSUM_LEVELすべて
BPF_SKC_TO_TCP6_SOCKすべて
BPF_SKC_TO_TCP_SOCKすべて
BPF_SKC_TO_TCP_TIMEWAIT_SOCKすべて
BPF_SKC_TO_TCP_REQUEST_SOCKすべて
BPF_SKC_TO_UDP6_SOCKすべて
BPF_GET_TASK_STACKすべて
BPF_LOAD_HDR_OPTすべて
BPF_STORE_HDR_OPTすべて
BPF_RESERVE_HDR_OPTすべて
BPF_INODE_STORAGE_GETすべて
BPF_INODE_STORAGE_DELETEすべて
BPF_D_PATHすべて
BPF_COPY_FROM_USERすべて
BPF_SNPRINTF_BTFすべて
BPF_SEQ_PRINTF_BTFすべて
BPF_SKB_CGROUP_CLASSIDすべて
BPF_REDIRECT_NEIGHすべて
BPF_PER_CPU_PTRすべて
BPF_THIS_CPU_PTRすべて
BPF_REDIRECT_PEERすべて
BPF_TASK_STORAGE_GETすべて
BPF_TASK_STORAGE_DELETEすべて
BPF_GET_CURRENT_TASK_BTFすべて
BPF_BPRM_OPTS_SETすべて
BPF_KTIME_GET_COARSE_NSすべて
BPF_IMA_INODE_HASHすべて
BPF_SOCK_FROM_FILEすべて
BPF_CHECK_MTUすべて
BPF_FOR_EACH_MAP_ELEMすべて
BPF_SNPRINTFすべて

BPF map types

BPF マップタイプは、サポートされている eBPF マップタイプです。

名前アーキテクチャ
BPF_MAP_TYPE_UNSPECすべて
BPF_MAP_TYPE_HASHすべて
BPF_MAP_TYPE_ARRAYすべて
BPF_MAP_TYPE_PROG_ARRAYすべて
BPF_MAP_TYPE_PERF_EVENT_ARRAYすべて
BPF_MAP_TYPE_PERCPU_HASHすべて
BPF_MAP_TYPE_PERCPU_ARRAYすべて
BPF_MAP_TYPE_STACK_TRACEすべて
BPF_MAP_TYPE_CGROUP_ARRAYすべて
BPF_MAP_TYPE_LRU_HASHすべて
BPF_MAP_TYPE_LRU_PERCPU_HASHすべて
BPF_MAP_TYPE_LPM_TRIEすべて
BPF_MAP_TYPE_ARRAY_OF_MAPSすべて
BPF_MAP_TYPE_HASH_OF_MAPSすべて
BPF_MAP_TYPE_DEVMAPすべて
BPF_MAP_TYPE_SOCKMAPすべて
BPF_MAP_TYPE_CPUMAPすべて
BPF_MAP_TYPE_XSKMAPすべて
BPF_MAP_TYPE_SOCKHASHすべて
BPF_MAP_TYPE_CGROUP_STORAGEすべて
BPF_MAP_TYPE_REUSEPORT_SOCKARRAYすべて
BPF_MAP_TYPE_PERCPU_CGROUP_STORAGEすべて
BPF_MAP_TYPE_QUEUEすべて
BPF_MAP_TYPE_STACKすべて
BPF_MAP_TYPE_SK_STORAGEすべて
BPF_MAP_TYPE_DEVMAP_HASHすべて
BPF_MAP_TYPE_STRUCT_OPSすべて
BPF_MAP_TYPE_RINGBUFすべて
BPF_MAP_TYPE_INODE_STORAGEすべて
BPF_MAP_TYPE_TASK_STORAGEすべて

BPF program types

BPF プログラムタイプは、サポートされている eBPF プログラムタイプです。

名前アーキテクチャ
BPF_PROG_TYPE_UNSPECすべて
BPF_PROG_TYPE_SOCKET_FILTERすべて
BPF_PROG_TYPE_KPROBEすべて
BPF_PROG_TYPE_SCHED_CLSすべて
BPF_PROG_TYPE_SCHED_ACTすべて
BPF_PROG_TYPE_TRACEPOINTすべて
BPF_PROG_TYPE_XDPすべて
BPF_PROG_TYPE_PERF_EVENTすべて
BPF_PROG_TYPE_CGROUP_SKBすべて
BPF_PROG_TYPE_CGROUP_SOCKすべて
BPF_PROG_TYPE_LWT_INすべて
BPF_PROG_TYPE_LWT_OUTすべて
BPF_PROG_TYPE_LWT_XMITすべて
BPF_PROG_TYPE_SOCK_OPSすべて
BPF_PROG_TYPE_SK_SKBすべて
BPF_PROG_TYPE_CGROUP_DEVICEすべて
BPF_PROG_TYPE_SK_MSGすべて
BPF_PROG_TYPE_RAW_TRACEPOINTすべて
BPF_PROG_TYPE_CGROUP_SOCK_ADDRすべて
BPF_PROG_TYPE_LWT_SEG6LOCALすべて
BPF_PROG_TYPE_LIRC_MODE2すべて
BPF_PROG_TYPE_SK_REUSEPORTすべて
BPF_PROG_TYPE_FLOW_DISSECTORすべて
BPF_PROG_TYPE_CGROUP_SYSCTLすべて
BPF_PROG_TYPE_RAW_TRACEPOINT_WRITABLEすべて
BPF_PROG_TYPE_CGROUP_SOCKOPTすべて
BPF_PROG_TYPE_TRACINGすべて
BPF_PROG_TYPE_STRUCT_OPSすべて
BPF_PROG_TYPE_EXTすべて
BPF_PROG_TYPE_LSMすべて
BPF_PROG_TYPE_SK_LOOKUPすべて

DNS qclasses

DNS qclasses は、サポートされている DNS クエリクラスです。

名前アーキテクチャ
CLASS_INETすべて
CLASS_CSNETすべて
CLASS_CHAOSすべて
CLASS_HESIODすべて
CLASS_NONEすべて
CLASS_ANYすべて

DNS qtypes

DNS qtypes は、サポートされている DNS クエリタイプです。

名前アーキテクチャ
Noneすべて
Aすべて
NSすべて
MDすべて
MFすべて
CNAMEすべて
SOAすべて
MBすべて
MGすべて
MRすべて
NULLすべて
PTRすべて
HINFOすべて
MINFOすべて
MXすべて
TXTすべて
RPすべて
AFSDBすべて
X25すべて
ISDNすべて
RTすべて
NSAPPTRすべて
SIGすべて
KEYすべて
PXすべて
GPOSすべて
AAAAすべて
LOCすべて
NXTすべて
EIDすべて
NIMLOCすべて
SRVすべて
ATMAすべて
NAPTRすべて
KXすべて
CERTすべて
DNAMEすべて
OPTすべて
APLすべて
DSすべて
SSHFPすべて
RRSIGすべて
NSECすべて
DNSKEYすべて
DHCIDすべて
NSEC3すべて
NSEC3PARAMすべて
TLSAすべて
SMIMEAすべて
HIPすべて
NINFOすべて
RKEYすべて
TALINKすべて
CDSすべて
CDNSKEYすべて
OPENPGPKEYすべて
CSYNCすべて
ZONEMDすべて
SVCBすべて
HTTPSすべて
SPFすべて
UINFOすべて
UIDすべて
GIDすべて
UNSPECすべて
NIDすべて
L32すべて
L64すべて
LPすべて
EUI48すべて
EUI64すべて
URIすべて
CAAすべて
AVCすべて
TKEYすべて
TSIGすべて
IXFRすべて
AXFRすべて
MAILBすべて
MAILAすべて
ANYすべて
TAすべて
DLVすべて
Reservedすべて

Error constants

エラー定数は、サポートされているエラー定数です。

名前アーキテクチャ
E2BIGすべて
EACCESすべて
EADDRINUSEすべて
EADDRNOTAVAILすべて
EADVすべて
EAFNOSUPPORTすべて
EAGAINすべて
EALREADYすべて
EBADEすべて
EBADFすべて
EBADFDすべて
EBADMSGすべて
EBADRすべて
EBADRQCすべて
EBADSLTすべて
EBFONTすべて
EBUSYすべて
ECANCELEDすべて
ECHILDすべて
ECHRNGすべて
ECOMMすべて
ECONNABORTEDすべて
ECONNREFUSEDすべて
ECONNRESETすべて
EDEADLKすべて
EDEADLOCKすべて
EDESTADDRREQすべて
EDOMすべて
EDOTDOTすべて
EDQUOTすべて
EEXISTすべて
EFAULTすべて
EFBIGすべて
EHOSTDOWNすべて
EHOSTUNREACHすべて
EIDRMすべて
EILSEQすべて
EINPROGRESSすべて
EINTRすべて
EINVALすべて
EIOすべて
EISCONNすべて
EISDIRすべて
EISNAMすべて
EKEYEXPIREDすべて
EKEYREJECTEDすべて
EKEYREVOKEDすべて
EL2HLTすべて
EL2NSYNCすべて
EL3HLTすべて
EL3RSTすべて
ELIBACCすべて
ELIBBADすべて
ELIBEXECすべて
ELIBMAXすべて
ELIBSCNすべて
ELNRNGすべて
ELOOPすべて
EMEDIUMTYPEすべて
EMFILEすべて
EMLINKすべて
EMSGSIZEすべて
EMULTIHOPすべて
ENAMETOOLONGすべて
ENAVAILすべて
ENETDOWNすべて
ENETRESETすべて
ENETUNREACHすべて
ENFILEすべて
ENOANOすべて
ENOBUFSすべて
ENOCSIすべて
ENODATAすべて
ENODEVすべて
ENOENTすべて
ENOEXECすべて
ENOKEYすべて
ENOLCKすべて
ENOLINKすべて
ENOMEDIUMすべて
ENOMEMすべて
ENOMSGすべて
ENONETすべて
ENOPKGすべて
ENOPROTOOPTすべて
ENOSPCすべて
ENOSRすべて
ENOSTRすべて
ENOSYSすべて
ENOTBLKすべて
ENOTCONNすべて
ENOTDIRすべて
ENOTEMPTYすべて
ENOTNAMすべて
ENOTRECOVERABLEすべて
ENOTSOCKすべて
ENOTSUPすべて
ENOTTYすべて
ENOTUNIQすべて
ENXIOすべて
EOPNOTSUPPすべて
EOVERFLOWすべて
EOWNERDEADすべて
EPERMすべて
EPFNOSUPPORTすべて
EPIPEすべて
EPROTOすべて
EPROTONOSUPPORTすべて
EPROTOTYPEすべて
ERANGEすべて
EREMCHGすべて
EREMOTEすべて
EREMOTEIOすべて
ERESTARTすべて
ERFKILLすべて
EROFSすべて
ESHUTDOWNすべて
ESOCKTNOSUPPORTすべて
ESPIPEすべて
ESRCHすべて
ESRMNTすべて
ESTALEすべて
ESTRPIPEすべて
ETIMEすべて
ETIMEDOUTすべて
ETOOMANYREFSすべて
ETXTBSYすべて
EUCLEANすべて
EUNATCHすべて
EUSERSすべて
EWOULDBLOCKすべて
EXDEVすべて
EXFULLすべて

File mode constants

ファイルモード定数は、サポートされるファイル権限のほか、set-user-ID、set-group-ID、スティッキービットの定数です。

名前アーキテクチャ
S_ISUIDすべて
S_ISGIDすべて
S_ISVTXすべて
S_IRWXUすべて
S_IRUSRすべて
S_IWUSRすべて
S_IXUSRすべて
S_IRWXGすべて
S_IRGRPすべて
S_IWGRPすべて
S_IXGRPすべて
S_IRWXOすべて
S_IROTHすべて
S_IWOTHすべて
S_IXOTHすべて

Inode mode constants

Inode モード定数は、ファイルモード定数と同様に、サポートされるファイルタイプ定数です。

名前アーキテクチャ
S_IFMTすべて
S_IFSOCKすべて
S_IFLNKすべて
S_IFREGすべて
S_IFBLKすべて
S_IFDIRすべて
S_IFCHRすべて
S_IFIFOすべて
S_ISUIDすべて
S_ISGIDすべて
S_ISVTXすべて
S_IRWXUすべて
S_IRUSRすべて
S_IWUSRすべて
S_IXUSRすべて
S_IRWXGすべて
S_IRGRPすべて
S_IWGRPすべて
S_IXGRPすべて
S_IRWXOすべて
S_IROTHすべて
S_IWOTHすべて
S_IXOTHすべて

Kernel Capability constants

カーネルケイパビリティ定数は、サポートされている Linux カーネルケイパビリティです。

名前アーキテクチャ
CAP_AUDIT_CONTROLすべて
CAP_AUDIT_READすべて
CAP_AUDIT_WRITEすべて
CAP_BLOCK_SUSPENDすべて
CAP_BPFすべて
CAP_CHECKPOINT_RESTOREすべて
CAP_CHOWNすべて
CAP_DAC_OVERRIDEすべて
CAP_DAC_READ_SEARCHすべて
CAP_FOWNERすべて
CAP_FSETIDすべて
CAP_IPC_LOCKすべて
CAP_IPC_OWNERすべて
CAP_KILLすべて
CAP_LEASEすべて
CAP_LINUX_IMMUTABLEすべて
CAP_MAC_ADMINすべて
CAP_MAC_OVERRIDEすべて
CAP_MKNODすべて
CAP_NET_ADMINすべて
CAP_NET_BIND_SERVICEすべて
CAP_NET_BROADCASTすべて
CAP_NET_RAWすべて
CAP_PERFMONすべて
CAP_SETFCAPすべて
CAP_SETGIDすべて
CAP_SETPCAPすべて
CAP_SETUIDすべて
CAP_SYSLOGすべて
CAP_SYS_ADMINすべて
CAP_SYS_BOOTすべて
CAP_SYS_CHROOTすべて
CAP_SYS_MODULEすべて
CAP_SYS_NICEすべて
CAP_SYS_PACCTすべて
CAP_SYS_PTRACEすべて
CAP_SYS_RAWIOすべて
CAP_SYS_RESOURCEすべて
CAP_SYS_TIMEすべて
CAP_SYS_TTY_CONFIGすべて
CAP_WAKE_ALARMすべて

L3 protocols

L3 プロトコルは、サポートされているレイヤー 3 プロトコルです。

名前アーキテクチャ
ETH_P_LOOPすべて
ETH_P_PUPすべて
ETH_P_PUPATすべて
ETH_P_TSNすべて
ETH_P_IPすべて
ETH_P_X25すべて
ETH_P_ARPすべて
ETH_P_BPQすべて
ETH_P_IEEEPUPすべて
ETH_P_IEEEPUPATすべて
ETH_P_BATMANすべて
ETH_P_DECすべて
ETH_P_DNADLすべて
ETH_P_DNARCすべて
ETH_P_DNARTすべて
ETH_P_LATすべて
ETH_P_DIAGすべて
ETH_P_CUSTすべて
ETH_P_SCAすべて
ETH_P_TEBすべて
ETH_P_RARPすべて
ETH_P_ATALKすべて
ETH_P_AARPすべて
ETH_P_8021_Qすべて
ETH_P_ERSPANすべて
ETH_P_IPXすべて
ETH_P_IPV6すべて
ETH_P_PAUSEすべて
ETH_P_SLOWすべて
ETH_P_WCCPすべて
ETH_P_MPLSUCすべて
ETH_P_MPLSMCすべて
ETH_P_ATMMPOAすべて
ETH_P_PPPDISCすべて
ETH_P_PPPSESすべて
ETH_P__LINK_CTLすべて
ETH_P_ATMFATEすべて
ETH_P_PAEすべて
ETH_P_AOEすべて
ETH_P_8021_ADすべて
ETH_P_802_EX1すべて
ETH_P_TIPCすべて
ETH_P_MACSECすべて
ETH_P_8021_AHすべて
ETH_P_MVRPすべて
ETH_P_1588すべて
ETH_P_NCSIすべて
ETH_P_PRPすべて
ETH_P_FCOEすべて
ETH_P_IBOEすべて
ETH_P_TDLSすべて
ETH_P_FIPすべて
ETH_P_80221すべて
ETH_P_HSRすべて
ETH_P_NSHすべて
ETH_P_LOOPBACKすべて
ETH_P_QINQ1すべて
ETH_P_QINQ2すべて
ETH_P_QINQ3すべて
ETH_P_EDSAすべて
ETH_P_IFEすべて
ETH_P_AFIUCVすべて
ETH_P_8023_MINすべて
ETH_P_IPV6_HOP_BY_HOPすべて
ETH_P_8023すべて
ETH_P_AX25すべて
ETH_P_ALLすべて
ETH_P_8022すべて
ETH_P_SNAPすべて
ETH_P_DDCMPすべて
ETH_P_WANPPPすべて
ETH_P_PPPMPすべて
ETH_P_LOCALTALKすべて
ETH_P_CANすべて
ETH_P_CANFDすべて
ETH_P_PPPTALKすべて
ETH_P_TR8022すべて
ETH_P_MOBITEXすべて
ETH_P_CONTROLすべて
ETH_P_IRDAすべて
ETH_P_ECONETすべて
ETH_P_HDLCすべて
ETH_P_ARCNETすべて
ETH_P_DSAすべて
ETH_P_TRAILERすべて
ETH_P_PHONETすべて
ETH_P_IEEE802154すべて
ETH_P_CAIFすべて
ETH_P_XDSAすべて
ETH_P_MAPすべて

L4 protocols

L4 プロトコルは、サポートされているレイヤー 4 プロトコルです。

名前アーキテクチャ
IP_PROTO_IPすべて
IP_PROTO_ICMPすべて
IP_PROTO_IGMPすべて
IP_PROTO_IPIPすべて
IP_PROTO_TCPすべて
IP_PROTO_EGPすべて
IP_PROTO_IGPすべて
IP_PROTO_PUPすべて
IP_PROTO_UDPすべて
IP_PROTO_IDPすべて
IP_PROTO_TPすべて
IP_PROTO_DCCPすべて
IP_PROTO_IPV6すべて
IP_PROTO_RSVPすべて
IP_PROTO_GREすべて
IP_PROTO_ESPすべて
IP_PROTO_AHすべて
IP_PROTO_ICMPV6すべて
IP_PROTO_MTPすべて
IP_PROTO_BEETPHすべて
IP_PROTO_ENCAPすべて
IP_PROTO_PIMすべて
IP_PROTO_COMPすべて
IP_PROTO_SCTPすべて
IP_PROTO_UDPLITEすべて
IP_PROTO_MPLSすべて
IP_PROTO_RAWすべて

MMap flags

MMap フラグは、mmap syscall でサポートされているフラグです。

名前アーキテクチャ
MAP_SHAREDすべて
MAP_PRIVATEすべて
MAP_SHARED_VALIDATEすべて
MAP_ANONすべて
MAP_ANONYMOUSすべて
MAP_DENYWRITEすべて
MAP_EXECUTABLEすべて
MAP_FIXEDすべて
MAP_FIXED_NOREPLACEすべて
MAP_GROWSDOWNすべて
MAP_HUGETLBすべて
MAP_LOCKEDすべて
MAP_NONBLOCKすべて
MAP_NORESERVEすべて
MAP_POPULATEすべて
MAP_STACKすべて
MAP_SYNCすべて
MAP_UNINITIALIZEDすべて
MAP_HUGE_16KBすべて
MAP_HUGE_64KBすべて
MAP_HUGE_512KBすべて
MAP_HUGE_1MBすべて
MAP_HUGE_2MBすべて
MAP_HUGE_8MBすべて
MAP_HUGE_16MBすべて
MAP_HUGE_32MBすべて
MAP_HUGE_256MBすべて
MAP_HUGE_512MBすべて
MAP_HUGE_1GBすべて
MAP_HUGE_2GBすべて
MAP_HUGE_16GBすべて
MAP_32BITamd64

Network Address Family constants

ネットワークアドレスファミリー定数は、サポートされているネットワークアドレスファミリーです。

名前アーキテクチャ
AF_UNSPECすべて
AF_LOCALすべて
AF_UNIXすべて
AF_FILEすべて
AF_INETすべて
AF_AX25すべて
AF_IPXすべて
AF_APPLETALKすべて
AF_NETROMすべて
AF_BRIDGEすべて
AF_ATMPVCすべて
AF_X25すべて
AF_INET6すべて
AF_ROSEすべて
AF_DECnetすべて
AF_NETBEUIすべて
AF_SECURITYすべて
AF_KEYすべて
AF_NETLINKすべて
AF_ROUTEすべて
AF_PACKETすべて
AF_ASHすべて
AF_ECONETすべて
AF_ATMSVCすべて
AF_RDSすべて
AF_SNAすべて
AF_IRDAすべて
AF_PPPOXすべて
AF_WANPIPEすべて
AF_LLCすべて
AF_IBすべて
AF_MPLSすべて
AF_CANすべて
AF_TIPCすべて
AF_BLUETOOTHすべて
AF_IUCVすべて
AF_RXRPCすべて
AF_ISDNすべて
AF_PHONETすべて
AF_IEEE802154すべて
AF_CAIFすべて
AF_ALGすべて
AF_NFCすべて
AF_VSOCKすべて
AF_KCMすべて
AF_QIPCRTRすべて
AF_SMCすべて
AF_XDPすべて
AF_MAXすべて

Open flags

オープンフラグは、オープン syscall でサポートされているフラグです。

名前アーキテクチャ
O_RDONLYすべて
O_WRONLYすべて
O_RDWRすべて
O_APPENDすべて
O_CREATすべて
O_EXCLすべて
O_SYNCすべて
O_TRUNCすべて
O_ACCMODEすべて
O_ASYNCすべて
O_CLOEXECすべて
O_DIRECTすべて
O_DIRECTORYすべて
O_DSYNCすべて
O_FSYNCすべて
O_NDELAYすべて
O_NOATIMEすべて
O_NOCTTYすべて
O_NOFOLLOWすべて
O_NONBLOCKすべて
O_RSYNCすべて

Pipe buffer flags

パイプバッファフラグは、パイプバッファでサポートされているフラグです。

名前アーキテクチャ
PIPE_BUF_FLAG_LRUすべて
PIPE_BUF_FLAG_ATOMICすべて
PIPE_BUF_FLAG_GIFTすべて
PIPE_BUF_FLAG_PACKETすべて
PIPE_BUF_FLAG_CAN_MERGEすべて
PIPE_BUF_FLAG_WHOLEすべて
PIPE_BUF_FLAG_LOSSすべて

Protection constants

保護定数は、mmap syscall でサポートされている保護です。

名前アーキテクチャ
PROT_NONEすべて
PROT_READすべて
PROT_WRITEすべて
PROT_EXECすべて
PROT_GROWSDOWNすべて
PROT_GROWSUPすべて

Ptrace constants

ptrace 定数は、ptrace syscall でサポートされている ptrace コマンドです。

名前アーキテクチャ
PTRACE_TRACEMEすべて
PTRACE_PEEKTEXTすべて
PTRACE_PEEKDATAすべて
PTRACE_PEEKUSRすべて
PTRACE_POKETEXTすべて
PTRACE_POKEDATAすべて
PTRACE_POKEUSRすべて
PTRACE_CONTすべて
PTRACE_KILLすべて
PTRACE_SINGLESTEPすべて
PTRACE_ATTACHすべて
PTRACE_DETACHすべて
PTRACE_SYSCALLすべて
PTRACE_SETOPTIONSすべて
PTRACE_GETEVENTMSGすべて
PTRACE_GETSIGINFOすべて
PTRACE_SETSIGINFOすべて
PTRACE_GETREGSETすべて
PTRACE_SETREGSETすべて
PTRACE_SEIZEすべて
PTRACE_INTERRUPTすべて
PTRACE_LISTENすべて
PTRACE_PEEKSIGINFOすべて
PTRACE_GETSIGMASKすべて
PTRACE_SETSIGMASKすべて
PTRACE_SECCOMP_GET_FILTERすべて
PTRACE_SECCOMP_GET_METADATAすべて
PTRACE_GET_SYSCALL_INFOすべて
PTRACE_GETFPREGSamd64、arm
PTRACE_SETFPREGSamd64、arm
PTRACE_GETFPXREGSamd64
PTRACE_SETFPXREGSamd64
PTRACE_OLDSETOPTIONSamd64、arm
PTRACE_GET_THREAD_AREAamd64、arm
PTRACE_SET_THREAD_AREAamd64
PTRACE_ARCH_PRCTLamd64
PTRACE_SYSEMUamd64、arm64
PTRACE_SYSEMU_SINGLESTEPamd64、arm64
PTRACE_SINGLEBLOCKamd64
PTRACE_GETCRUNCHREGSarm
PTRACE_GETFDPICarm
PTRACE_GETFDPIC_EXECarm
PTRACE_GETFDPIC_INTERParm
PTRACE_GETHBPREGSarm
PTRACE_GETVFPREGSarm
PTRACE_GETWMMXREGSarm
PTRACE_SETCRUNCHREGSarm
PTRACE_SETHBPREGSarm
PTRACE_SETVFPREGSarm
PTRACE_SETWMMXREGSarm
PTRACE_SET_SYSCALLarm
PTRACE_PEEKMTETAGSarm64
PTRACE_POKEMTETAGSarm64

SecL constants

SecL 定数は、サポートされている汎用 SecL 定数です。

名前アーキテクチャ
trueすべて
falseすべて

Signal constants

シグナル定数は、kill syscall でサポートされているシグナルです。

名前アーキテクチャ
SIGHUPすべて
SIGINTすべて
SIGQUITすべて
SIGILLすべて
SIGTRAPすべて
SIGABRTすべて
SIGIOTすべて
SIGBUSすべて
SIGFPEすべて
SIGKILLすべて
SIGUSR1すべて
SIGSEGVすべて
SIGUSR2すべて
SIGPIPEすべて
SIGALRMすべて
SIGTERMすべて
SIGSTKFLTすべて
SIGCHLDすべて
SIGCONTすべて
SIGSTOPすべて
SIGTSTPすべて
SIGTTINすべて
SIGTTOUすべて
SIGURGすべて
SIGXCPUすべて
SIGXFSZすべて
SIGVTALRMすべて
SIGPROFすべて
SIGWINCHすべて
SIGIOすべて
SIGPOLLすべて
SIGPWRすべて
SIGSYSすべて

アンリンクフラグは、アンリンク syscall でサポートされているフラグです。

名前アーキテクチャ
AT_REMOVEDIRすべて

Virtual Memory flags

仮想メモリフラグは、仮想メモリセグメントの保護を定義します。

名前アーキテクチャ
VM_NONEすべて
VM_READすべて
VM_WRITEすべて
VM_EXECすべて
VM_SHAREDすべて
VM_MAYREADすべて
VM_MAYWRITEすべて
VM_MAYEXECすべて
VM_MAYSHAREすべて
VM_GROWSDOWNすべて
VM_UFFD_MISSINGすべて
VM_PFNMAPすべて
VM_UFFD_WPすべて
VM_LOCKEDすべて
VM_IOすべて
VM_SEQ_READすべて
VM_RAND_READすべて
VM_DONTCOPYすべて
VM_DONTEXPANDすべて
VM_LOCKONFAULTすべて
VM_ACCOUNTすべて
VM_NORESERVEすべて
VM_HUGETLBすべて
VM_SYNCすべて
VM_ARCH_1すべて
VM_WIPEONFORKすべて
VM_DONTDUMPすべて
VM_SOFTDIRTYすべて
VM_MIXEDMAPすべて
VM_HUGEPAGEすべて
VM_NOHUGEPAGEすべて
VM_MERGEABLEすべて