Scripts auxiliares y atributos del Linux Agent Scripts auxiliares y atributos del Linux Agent Esta documentación describe los atributos y scripts auxiliares de Linux del Security Language (SECL) de Datadog .
Las reglas que utilicen atributos y scripts auxiliares de Linux deben incluir un campo de filtro de regla de sistema operativo como el siguiente.
Copy
id : [ ...]
expression : [ ...]
filters :
- os == "linux" Disparadores Los disparadores son eventos que corresponden a tipos de actividad vistos por el sistema. El conjunto de disparadores admitidos actualmente es:
Evento de SECL Tipo Definición Versión del Agent bindRed Se ha ejecutado una vinculación 7.37 bpfKernel Se ha ejecutado un comando BPF 7.33 capsetProceso A proceso cambió su conjunto de capacidades 7.27 chdirArchivo [Experimental] Un proceso cambió el directorio actual 7.52 chmodArchivo Se han cambiado los permisos de un archivo 7.27 chownArchivo Se ha cambiado el propietario de un archivo 7.27 dnsRed Se ha enviado una solicitud DNS 7.36 execProceso Se ha ejecutado o bifurcado un proceso 7.27 exitProceso Se finalizó un proceso 7.38 imdsRed Se capturó un evento de IMDS 7.55 linkArchivo Crear un nuevo nombre/alias para un archivo 7.27 load_moduleKernel Se ha cargado un nuevo módulo del kernel 7.35 mkdirArchivo Se ha creado un directorio 7.27 mmapKernel Se ha ejecutado un comando mmap 7.35 mountArchivo [Experimental] Se ha montado un sistema de archivos 7.42 mprotectKernel Se ha ejecutado un comando mprotect 7.35 openArchivo Se ha abierto un archivo 7.27 ptraceKernel Se ha ejecutado un comando ptrace 7.35 removexattrArchivo Eliminar atributos ampliados 7.27 renameArchivo Se ha renombrado un archivo/directorio 7.27 rmdirArchivo Se ha eliminado un directorio 7.27 selinuxKernel Se ha ejecutado una operación SELinux 7.30 setgidProceso Un proceso cambió su gid efectivo 7.27 setuidProceso Un proceso cambió su uid efectivo 7.27 setxattrArchivo Establecer atributos ampliados 7.27 signalProceso Se envió una señal 7.35 spliceArchivo Se ha ejecutado un comando splice 7.36 unlinkArchivo Se ha eliminado un archivo 7.27 unload_moduleKernel Se ha eliminado un módulo del kernel 7.35 utimesArchivo Modificar los tiempos de acceso/modificación de archivos 7.27
Variables Las variables SECL son variables predefinidas que pueden utilizarse como valores o como parte de valores.
Por ejemplo, la regla que utiliza una variable process.pid tiene el siguiente aspecto:
Copy
open . file . path == "/proc/${process.pid}/maps" Lista de las variables disponibles:
Variable SECL Definición Versión del Agent process.pidPID de proceso 7.33
CIDR y rango de IP En SECL es posible establecer correspondencias con CIDR e IP. Se pueden utilizar operadores como in, not in o allin combinados con notaciones de CIDR o IP.
Estas reglas pueden escribirse de la siguiente manera:
Copy
dns . question . name == "example.com" && network . destination . ip in [ 192.168 . 1.25 , 10.0 . 0.0 / 24 ] Scripts auxiliares En SECL existen scripts auxiliares que permiten a los usuarios escribir reglas avanzadas sin necesidad de recurrir a técnicas genéricas como expresiones regulares.
Argumentos de la línea de comandos args_flags y args_options son scripts auxiliares para facilitar la escritura de reglas de CSM Threats basadas en argumentos de línea de comandos.
args_flags se utiliza para atrapar argumentos que comienzan con uno o dos caracteres guión pero que no aceptan ningún valor asociado.
Ejemplos:
version forma parte de args_flags del comando cat --versionl y n ambos están en args_flags para el comando netstat -lnargs_options se utiliza para atrapar argumentos que comienzan con uno o dos caracteres guión y acepta un valor especificado como el mismo argumento pero separado por el carácter ‘=’ o especificado como el siguiente argumento.
Ejemplos:
T=8 y width=8 ambos están en args_options para el comando ls -T 8 --width=8exec.args_options in [ r"s=.*\\" ] se puede utilizar para detectar si sudoedit fue lanzado con el argumento -s y un comando que termina con una \Derechos de archivo El atributo file.rights puede utilizarse ahora además de file.mode . file.mode puede contener valores establecidos por el kernel, mientras que file.rights sólo contiene los valores establecidos por el usuario. Estos derechos pueden ser más conocidos porque están en los comandos chmod.
Atributos de evento Común para todos los tipos de evento Propiedad Definición cgroup.file.inodeNodo índice del archivo cgroup.file.mount_idID de montaje del archivo cgroup.idID del cgroup cgroup.managerGestor del ciclo de vida del cgroup container.created_atMarca de tiempo de la creación del contenedor container.idID del contenedor container.runtimeTiempo de ejecución que gestiona el contenedor container.tagsEtiquetas del contenedor event.asyncTrue si la syscall era asíncrona event.hostnameNombre de host asociado al evento event.originOrigen del evento event.osSistema operativo del evento event.serviceServicio asociado al evento event.timestampMarca de tiempo del evento process.ancestors.argsArgumentos de proceso (como cadena, excluyendo argv0) process.ancestors.args_flagsIndicadores en los argumentos de proceso process.ancestors.args_optionsArgumento del proceso como opciones process.ancestors.args_truncatedIndicador del truncamiento de argumentos process.ancestors.argvArgumentos del proceso (como matriz, excluyendo argv0) process.ancestors.argv0Primer argumento del proceso process.ancestors.auidUID de inicio de sesión del proceso process.ancestors.cap_effectiveConjunto de capacidades efectivas del proceso process.ancestors.cap_permittedConjunto de capacidades permitidas del proceso process.ancestors.cgroup.file.inodeNodo índice del archivo process.ancestors.cgroup.file.mount_idID de montaje del archivo process.ancestors.cgroup.idID del cgroup process.ancestors.cgroup.managerGestor del ciclo de vida del cgroup process.ancestors.commAtributo Comm del proceso process.ancestors.container.idID del contenedor process.ancestors.created_atMarca de tiempo de la creación del proceso process.ancestors.egidGID efectivo del proceso process.ancestors.egroupGrupo efectivo del proceso process.ancestors.envpVariables de entorno del proceso process.ancestors.envsNombres de variables de entorno del proceso process.ancestors.envs_truncatedIndicador de truncamiento de variables de entorno process.ancestors.euidUID efectivo del proceso process.ancestors.euserUsuario efectivo del proceso process.ancestors.file.change_timeHora de modificación (ctime) del archivo process.ancestors.file.filesystemSistema del archivo process.ancestors.file.gidGID del propietario del archivo process.ancestors.file.groupGrupo del propietario del archivo process.ancestors.file.hashes[Experimental] Lista de hashes criptográficos calculados para este archivo process.ancestors.file.in_upper_layerIndicador de la capa de archivo, por ejemplo, en un OverlayFS process.ancestors.file.inodeNodo índice del archivo process.ancestors.file.modeModo del archivo process.ancestors.file.modification_timeHora de modificación (mtime) del archivo process.ancestors.file.mount_idID de montaje del archivo process.ancestors.file.nameNombre base del archivo process.ancestors.file.name.lengthLongitud de la cadena correspondiente process.ancestors.file.package.name[Experimental] Nombre del paquete que proporcionó este archivo process.ancestors.file.package.source_version[Experimental] Versión completa del paquete fuente del paquete que proporcionó este archivo process.ancestors.file.package.version[Experimental] Versión completa del paquete que proporcionó este archivo process.ancestors.file.pathRuta del archivo process.ancestors.file.path.lengthLongitud de la cadena correspondiente process.ancestors.file.rightsDerechos del archivo process.ancestors.file.uidUID del propietario del archivo process.ancestors.file.userUsuario del propietario del archivo process.ancestors.fsgidFileSystem-gid del proceso process.ancestors.fsgroupFileSystem-group del proceso process.ancestors.fsuidFileSystem-uid del proceso process.ancestors.fsuserFileSystem-user del proceso process.ancestors.gidGID del proceso process.ancestors.groupGrupo del proceso process.ancestors.interpreter.file.change_timeHora de modificación (ctime) del archivo process.ancestors.interpreter.file.filesystemSistema del archivo process.ancestors.interpreter.file.gidGID del propietario del archivo process.ancestors.interpreter.file.groupGrupo del propietario del archivo process.ancestors.interpreter.file.hashes[Experimental] Lista de hashes criptográficos calculados para este archivo process.ancestors.interpreter.file.in_upper_layerIndicador de la capa de archivo, por ejemplo, en un OverlayFS process.ancestors.interpreter.file.inodeNodo índice del archivo process.ancestors.interpreter.file.modeModo del archivo process.ancestors.interpreter.file.modification_timeHora de modificación (mtime) del archivo process.ancestors.interpreter.file.mount_idID de montaje del archivo process.ancestors.interpreter.file.nameNombre base del archivo process.ancestors.interpreter.file.name.lengthLongitud de la cadena correspondiente process.ancestors.interpreter.file.package.name[Experimental] Nombre del paquete que proporcionó este archivo process.ancestors.interpreter.file.package.source_version[Experimental] Versión completa del paquete fuente del paquete que proporcionó este archivo process.ancestors.interpreter.file.package.version[Experimental] Versión completa del paquete que proporcionó este archivo process.ancestors.interpreter.file.pathRuta del archivo process.ancestors.interpreter.file.path.lengthLongitud de la cadena correspondiente process.ancestors.interpreter.file.rightsDerechos del archivo process.ancestors.interpreter.file.uidUID del propietario del archivo process.ancestors.interpreter.file.userUsuario del propietario del archivo process.ancestors.is_kworkerIndica si el proceso es un kworker process.ancestors.is_threadIndica si el proceso se considera un subproceso (es decir, un proceso secundario que no ha ejecutado otro programa) process.ancestors.pidID de proceso del proceso (también llamado ID de grupo del subproceso) process.ancestors.ppidID del proceso principal process.ancestors.tidID del subproceso process.ancestors.tty_nameNombre del TTY asociado al proceso process.ancestors.uidUID del proceso process.ancestors.userUsuario del proceso process.ancestors.user_session.k8s_groupsGrupos de Kubernetes del usuario que ejecutó el proceso process.ancestors.user_session.k8s_uidUID de Kubernetes del usuario que ejecutó el proceso process.ancestors.user_session.k8s_usernameNombre de usuario de Kubernetes del usuario que ejecutó el proceso process.argsArgumentos del proceso (como cadena, excluyendo argv0) process.args_flagsIndicadores en los argumentos de proceso process.args_optionsArgumento del proceso como opciones process.args_truncatedIndicador del truncamiento de argumentos process.argvArgumentos del proceso (como matriz, excluyendo argv0) process.argv0Primer argumento del proceso process.auidUID de inicio de sesión del proceso process.cap_effectiveConjunto de capacidades efectivas del proceso process.cap_permittedConjunto de capacidades permitidas del proceso process.cgroup.file.inodeNodo índice del archivo process.cgroup.file.mount_idID de montaje del archivo process.cgroup.idID del cgroup process.cgroup.managerGestor del ciclo de vida del cgroup process.commAtributo Comm del proceso process.container.idID del contenedor process.created_atMarca de tiempo de la creación del proceso process.egidGID efectivo del proceso process.egroupGrupo efectivo del proceso process.envpVariables de entorno del proceso process.envsNombres de variables de entorno del proceso process.envs_truncatedIndicador de truncamiento de variables de entorno process.euidUID efectivo del proceso process.euserUsuario efectivo del proceso process.file.change_timeHora de modificación (ctime) del archivo process.file.filesystemSistema del archivo process.file.gidGID del propietario del archivo process.file.groupGrupo del propietario del archivo process.file.hashes[Experimental] Lista de hashes criptográficos calculados para este archivo process.file.in_upper_layerIndicador de la capa de archivo, por ejemplo, en un OverlayFS process.file.inodeNodo índice del archivo process.file.modeModo del archivo process.file.modification_timeHora de modificación (mtime) del archivo process.file.mount_idID de montaje del archivo process.file.nameNombre base del archivo process.file.name.lengthLongitud de la cadena correspondiente process.file.package.name[Experimental] Nombre del paquete que proporcionó este archivo process.file.package.source_version[Experimental] Versión completa del paquete fuente del paquete que proporcionó este archivo process.file.package.version[Experimental] Versión completa del paquete que proporcionó este archivo process.file.pathRuta del archivo process.file.path.lengthLongitud de la cadena correspondiente process.file.rightsDerechos del archivo process.file.uidUID del propietario del archivo process.file.userUsuario del propietario del archivo process.fsgidFileSystem-gid del proceso process.fsgroupFileSystem-group del proceso process.fsuidFileSystem-uid del proceso process.fsuserFileSystem-user del proceso process.gidGID del proceso process.groupGrupo del proceso process.interpreter.file.change_timeHora de modificación (ctime) del archivo process.interpreter.file.filesystemSistema del archivo process.interpreter.file.gidGID del propietario del archivo process.interpreter.file.groupGrupo del propietario del archivo process.interpreter.file.hashes[Experimental] Lista de hashes criptográficos calculados para este archivo process.interpreter.file.in_upper_layerIndicador de la capa de archivo, por ejemplo, en un OverlayFS process.interpreter.file.inodeNodo índice del archivo process.interpreter.file.modeModo del archivo process.interpreter.file.modification_timeHora de modificación (mtime) del archivo process.interpreter.file.mount_idID de montaje del archivo process.interpreter.file.nameNombre base del archivo process.interpreter.file.name.lengthLongitud de la cadena correspondiente process.interpreter.file.package.name[Experimental] Nombre del paquete que proporcionó este archivo process.interpreter.file.package.source_version[Experimental] Versión completa del paquete fuente del paquete que proporcionó este archivo process.interpreter.file.package.version[Experimental] Versión completa del paquete que proporcionó este archivo process.interpreter.file.pathRuta del archivo process.interpreter.file.path.lengthLongitud de la cadena correspondiente process.interpreter.file.rightsDerechos del archivo process.interpreter.file.uidUID del propietario del archivo process.interpreter.file.userUsuario del propietario del archivo process.is_kworkerIndica si el proceso es un kworker process.is_threadIndica si el proceso se considera un subproceso (es decir, un proceso secundario que no ha ejecutado otro programa) process.parent.argsArgumentos del proceso (como cadena, excluyendo argv0) process.parent.args_flagsIndicadores en los argumentos de proceso process.parent.args_optionsArgumento del proceso como opciones process.parent.args_truncatedIndicador del truncamiento de argumentos process.parent.argvArgumentos del proceso (como matriz, excluyendo argv0) process.parent.argv0Primer argumento del proceso process.parent.auidUID de inicio de sesión del proceso process.parent.cap_effectiveConjunto de capacidades efectivas del proceso process.parent.cap_permittedConjunto de capacidades permitidas del proceso process.parent.cgroup.file.inodeNodo índice del archivo process.parent.cgroup.file.mount_idID de montaje del archivo process.parent.cgroup.idID del cgroup process.parent.cgroup.managerGestor del ciclo de vida del cgroup process.parent.commAtributo Comm del proceso process.parent.container.idID del contenedor process.parent.created_atMarca de tiempo de la creación del proceso process.parent.egidGID efectivo del proceso process.parent.egroupGrupo efectivo del proceso process.parent.envpVariables de entorno del proceso process.parent.envsNombres de variables de entorno del proceso process.parent.envs_truncatedIndicador de truncamiento de variables de entorno process.parent.euidUID efectivo del proceso process.parent.euserUsuario efectivo del proceso process.parent.file.change_timeHora de modificación (ctime) del archivo process.parent.file.filesystemSistema del archivo process.parent.file.gidGID del propietario del archivo process.parent.file.groupGrupo del propietario del archivo process.parent.file.hashes[Experimental] Lista de hashes criptográficos calculados para este archivo process.parent.file.in_upper_layerIndicador de la capa de archivo, por ejemplo, en un OverlayFS process.parent.file.inodeNodo índice del archivo process.parent.file.modeModo del archivo process.parent.file.modification_timeHora de modificación (mtime) del archivo process.parent.file.mount_idID de montaje del archivo process.parent.file.nameNombre base del archivo process.parent.file.name.lengthLongitud de la cadena correspondiente process.parent.file.package.name[Experimental] Nombre del paquete que proporcionó este archivo process.parent.file.package.source_version[Experimental] Versión completa del paquete fuente del paquete que proporcionó este archivo process.parent.file.package.version[Experimental] Versión completa del paquete que proporcionó este archivo process.parent.file.pathRuta del archivo process.parent.file.path.lengthLongitud de la cadena correspondiente process.parent.file.rightsDerechos del archivo process.parent.file.uidUID del propietario del archivo process.parent.file.userUsuario del propietario del archivo process.parent.fsgidFileSystem-gid del proceso process.parent.fsgroupFileSystem-group del proceso process.parent.fsuidFileSystem-uid del proceso process.parent.fsuserFileSystem-user del proceso process.parent.gidGID del proceso process.parent.groupGrupo del proceso process.parent.interpreter.file.change_timeHora de modificación (ctime) del archivo process.parent.interpreter.file.filesystemSistema del archivo process.parent.interpreter.file.gidGID del propietario del archivo process.parent.interpreter.file.groupGrupo del propietario del archivo process.parent.interpreter.file.hashes[Experimental] Lista de hashes criptográficos calculados para este archivo process.parent.interpreter.file.in_upper_layerIndicador de la capa de archivo, por ejemplo, en un OverlayFS process.parent.interpreter.file.inodeNodo índice del archivo process.parent.interpreter.file.modeModo del archivo process.parent.interpreter.file.modification_timeHora de modificación (mtime) del archivo process.parent.interpreter.file.mount_idID de montaje del archivo process.parent.interpreter.file.nameNombre base del archivo process.parent.interpreter.file.name.lengthLongitud de la cadena correspondiente process.parent.interpreter.file.package.name[Experimental] Nombre del paquete que proporcionó este archivo process.parent.interpreter.file.package.source_version[Experimental] Versión completa del paquete fuente del paquete que proporcionó este archivo process.parent.interpreter.file.package.version[Experimental] Versión completa del paquete que proporcionó este archivo process.parent.interpreter.file.pathRuta del archivo process.parent.interpreter.file.path.lengthLongitud de la cadena correspondiente process.parent.interpreter.file.rightsDerechos del archivo process.parent.interpreter.file.uidUID del propietario del archivo process.parent.interpreter.file.userUsuario del propietario del archivo process.parent.is_kworkerIndica si el proceso es un kworker process.parent.is_threadIndica si el proceso se considera un subproceso (es decir, un proceso secundario que no ha ejecutado otro programa) process.parent.pidID de proceso del proceso (también llamado ID de grupo del subproceso) process.parent.ppidID del proceso principal process.parent.tidID del subproceso process.parent.tty_nameNombre del TTY asociado al proceso process.parent.uidUID del proceso process.parent.userUsuario del proceso process.parent.user_session.k8s_groupsGrupos de Kubernetes del usuario que ejecutó el proceso process.parent.user_session.k8s_uidUID de Kubernetes del usuario que ejecutó el proceso process.parent.user_session.k8s_usernameNombre de usuario de Kubernetes del usuario que ejecutó el proceso process.pidID de proceso del proceso (también llamado ID de grupo del subproceso) process.ppidID del proceso principal process.tidID del subproceso process.tty_nameNombre del TTY asociado al proceso process.uidUID del proceso process.userUsuario del proceso process.user_session.k8s_groupsGrupos de Kubernetes del usuario que ejecutó el proceso process.user_session.k8s_uidUID de Kubernetes del usuario que ejecutó el proceso process.user_session.k8s_usernameNombre de usuario de Kubernetes del usuario que ejecutó el proceso
Evento bind Se ha ejecutado una vinculación
Evento bpf Se ha ejecutado un comando BPF
Evento capset Un proceso cambió su conjunto de capacidades
Evento chdir Este tipo de evento es experimental y puede cambiar en el futuro.
Un proceso cambió el directorio actual
Evento chmod Se han cambiado los permisos de un archivo
Evento chown Se ha cambiado el propietario de un archivo
Evento dns Se ha enviado una solicitud DNS
Evento exec Se ha ejecutado o bifurcado un proceso
Evento exit Se finalizó un proceso
Evento imds Se capturó un evento IMDS
Evento link Crear un nuevo nombre/alias para un archivo
Evento load_module Se ha cargado un nuevo módulo del kernel
Evento mkdir Se ha creado un directorio
Evento mmap Se ha ejecutado un comando mmap
Evento mount Este tipo de evento es experimental y puede cambiar en el futuro.
Se ha montado un sistema de archivos
Evento mprotect Se ha ejecutado un comando mprotect
Evento open Se ha abierto un archivo
Evento ptrace Se ha ejecutado un comando ptrace
Propiedad Definición ptrace.requestsolicitud de ptrace ptrace.retvalValor de retorno de syscall ptrace.tracee.ancestors.argsArgumentos del proceso (como cadena, excluyendo argv0) ptrace.tracee.ancestors.args_flagsIndicadores en los argumentos de proceso ptrace.tracee.ancestors.args_optionsArgumento del proceso como opciones ptrace.tracee.ancestors.args_truncatedIndicador del truncamiento de argumentos ptrace.tracee.ancestors.argvArgumentos del proceso (como matriz, excluyendo argv0) ptrace.tracee.ancestors.argv0Primer argumento del proceso ptrace.tracee.ancestors.auidUID de inicio de sesión del proceso ptrace.tracee.ancestors.cap_effectiveConjunto de capacidades efectivas del proceso ptrace.tracee.ancestors.cap_permittedConjunto de capacidades permitidas del proceso ptrace.tracee.ancestors.cgroup.file.inodeNodo índice del archivo ptrace.tracee.ancestors.cgroup.file.mount_idID de montaje del archivo ptrace.tracee.ancestors.cgroup.idID del cgroup ptrace.tracee.ancestors.cgroup.managerGestor del ciclo de vida del cgroup ptrace.tracee.ancestors.commAtributo Comm del proceso ptrace.tracee.ancestors.container.idID del contenedor ptrace.tracee.ancestors.created_atMarca de tiempo de la creación del proceso ptrace.tracee.ancestors.egidGID efectivo del proceso ptrace.tracee.ancestors.egroupGrupo efectivo del proceso ptrace.tracee.ancestors.envpVariables de entorno del proceso ptrace.tracee.ancestors.envsNombres de variables de entorno del proceso ptrace.tracee.ancestors.envs_truncatedIndicador de truncamiento de variables de entorno ptrace.tracee.ancestors.euidUID efectivo del proceso ptrace.tracee.ancestors.euserUsuario efectivo del proceso ptrace.tracee.ancestors.file.change_timeHora de modificación (ctime) del archivo ptrace.tracee.ancestors.file.filesystemSistema del archivo ptrace.tracee.ancestors.file.gidGID del propietario del archivo ptrace.tracee.ancestors.file.groupGrupo del propietario del archivo ptrace.tracee.ancestors.file.hashes[Experimental] Lista de hashes criptográficos calculados para este archivo ptrace.tracee.ancestors.file.in_upper_layerIndicador de la capa de archivo, por ejemplo, en un OverlayFS ptrace.tracee.ancestors.file.inodeNodo índice del archivo ptrace.tracee.ancestors.file.modeModo del archivo ptrace.tracee.ancestors.file.modification_timeHora de modificación (mtime) del archivo ptrace.tracee.ancestors.file.mount_idID de montaje del archivo ptrace.tracee.ancestors.file.nameNombre base del archivo ptrace.tracee.ancestors.file.name.lengthLongitud de la cadena correspondiente ptrace.tracee.ancestors.file.package.name[Experimental] Nombre del paquete que proporcionó este archivo ptrace.tracee.ancestors.file.package.source_version[Experimental] Versión completa del paquete fuente del paquete que proporcionó este archivo ptrace.tracee.ancestors.file.package.version[Experimental] Versión completa del paquete que proporcionó este archivo ptrace.tracee.ancestors.file.pathRuta del archivo ptrace.tracee.ancestors.file.path.lengthLongitud de la cadena correspondiente ptrace.tracee.ancestors.file.rightsDerechos del archivo ptrace.tracee.ancestors.file.uidUID del propietario del archivo ptrace.tracee.ancestors.file.userUsuario del propietario del archivo ptrace.tracee.ancestors.fsgidFileSystem-gid del proceso ptrace.tracee.ancestors.fsgroupFileSystem-group del proceso ptrace.tracee.ancestors.fsuidFileSystem-uid del proceso ptrace.tracee.ancestors.fsuserFileSystem-user del proceso ptrace.tracee.ancestors.gidGID del proceso ptrace.tracee.ancestors.groupGrupo del proceso ptrace.tracee.ancestors.interpreter.file.change_timeHora de modificación (ctime) del archivo ptrace.tracee.ancestors.interpreter.file.filesystemSistema del archivo ptrace.tracee.ancestors.interpreter.file.gidGID del propietario del archivo ptrace.tracee.ancestors.interpreter.file.groupGrupo del propietario del archivo ptrace.tracee.ancestors.interpreter.file.hashes[Experimental] Lista de hashes criptográficos calculados para este archivo ptrace.tracee.ancestors.interpreter.file.in_upper_layerIndicador de la capa de archivo, por ejemplo, en un OverlayFS ptrace.tracee.ancestors.interpreter.file.inodeNodo índice del archivo ptrace.tracee.ancestors.interpreter.file.modeModo del archivo ptrace.tracee.ancestors.interpreter.file.modification_timeHora de modificación (mtime) del archivo ptrace.tracee.ancestors.interpreter.file.mount_idID de montaje del archivo ptrace.tracee.ancestors.interpreter.file.nameNombre base del archivo ptrace.tracee.ancestors.interpreter.file.name.lengthLongitud de la cadena correspondiente ptrace.tracee.ancestors.interpreter.file.package.name[Experimental] Nombre del paquete que proporcionó este archivo ptrace.tracee.ancestors.interpreter.file.package.source_version[Experimental] Versión completa del paquete fuente del paquete que proporcionó este archivo ptrace.tracee.ancestors.interpreter.file.package.version[Experimental] Versión completa del paquete que proporcionó este archivo ptrace.tracee.ancestors.interpreter.file.pathRuta del archivo ptrace.tracee.ancestors.interpreter.file.path.lengthLongitud de la cadena correspondiente ptrace.tracee.ancestors.interpreter.file.rightsDerechos del archivo ptrace.tracee.ancestors.interpreter.file.uidUID del propietario del archivo ptrace.tracee.ancestors.interpreter.file.userUsuario del propietario del archivo ptrace.tracee.ancestors.is_kworkerIndica si el proceso es un kworker ptrace.tracee.ancestors.is_threadIndica si el proceso se considera un subproceso (es decir, un proceso secundario que no ha ejecutado otro programa) ptrace.tracee.ancestors.pidID de proceso del proceso (también llamado ID de grupo del subproceso) ptrace.tracee.ancestors.ppidID del proceso principal ptrace.tracee.ancestors.tidID del subproceso ptrace.tracee.ancestors.tty_nameNombre del TTY asociado al proceso ptrace.tracee.ancestors.uidUID del proceso ptrace.tracee.ancestors.userUsuario del proceso ptrace.tracee.ancestors.user_session.k8s_groupsGrupos de Kubernetes del usuario que ejecutó el proceso ptrace.tracee.ancestors.user_session.k8s_uidUID de Kubernetes del usuario que ejecutó el proceso ptrace.tracee.ancestors.user_session.k8s_usernameNombre de usuario de Kubernetes del usuario que ejecutó el proceso ptrace.tracee.argsArgumentos del proceso (como cadena, excluyendo argv0) ptrace.tracee.args_flagsIndicadores en los argumentos de proceso ptrace.tracee.args_optionsArgumento del proceso como opciones ptrace.tracee.args_truncatedIndicador del truncamiento de argumentos ptrace.tracee.argvArgumentos del proceso (como matriz, excluyendo argv0) ptrace.tracee.argv0Primer argumento del proceso ptrace.tracee.auidUID de inicio de sesión del proceso ptrace.tracee.cap_effectiveConjunto de capacidades efectivas del proceso ptrace.tracee.cap_permittedConjunto de capacidades permitidas del proceso ptrace.tracee.cgroup.file.inodeNodo índice del archivo ptrace.tracee.cgroup.file.mount_idID de montaje del archivo ptrace.tracee.cgroup.idID del cgroup ptrace.tracee.cgroup.managerGestor del ciclo de vida del cgroup ptrace.tracee.commAtributo Comm del proceso ptrace.tracee.container.idID del contenedor ptrace.tracee.created_atMarca de tiempo de la creación del proceso ptrace.tracee.egidGID efectivo del proceso ptrace.tracee.egroupGrupo efectivo del proceso ptrace.tracee.envpVariables de entorno del proceso ptrace.tracee.envsNombres de variables de entorno del proceso ptrace.tracee.envs_truncatedIndicador de truncamiento de variables de entorno ptrace.tracee.euidUID efectivo del proceso ptrace.tracee.euserUsuario efectivo del proceso ptrace.tracee.file.change_timeHora de modificación (ctime) del archivo ptrace.tracee.file.filesystemSistema del archivo ptrace.tracee.file.gidGID del propietario del archivo ptrace.tracee.file.groupGrupo del propietario del archivo ptrace.tracee.file.hashes[Experimental] Lista de hashes criptográficos calculados para este archivo ptrace.tracee.file.in_upper_layerIndicador de la capa de archivo, por ejemplo, en un OverlayFS ptrace.tracee.file.inodeNodo índice del archivo ptrace.tracee.file.modeModo del archivo ptrace.tracee.file.modification_timeHora de modificación (mtime) del archivo ptrace.tracee.file.mount_idID de montaje del archivo ptrace.tracee.file.nameNombre base del archivo ptrace.tracee.file.name.lengthLongitud de la cadena correspondiente ptrace.tracee.file.package.name[Experimental] Nombre del paquete que proporcionó este archivo ptrace.tracee.file.package.source_version[Experimental] Versión completa del paquete fuente del paquete que proporcionó este archivo ptrace.tracee.file.package.version[Experimental] Versión completa del paquete que proporcionó este archivo ptrace.tracee.file.pathRuta del archivo ptrace.tracee.file.path.lengthLongitud de la cadena correspondiente ptrace.tracee.file.rightsDerechos del archivo ptrace.tracee.file.uidUID del propietario del archivo ptrace.tracee.file.userUsuario del propietario del archivo ptrace.tracee.fsgidFileSystem-gid del proceso ptrace.tracee.fsgroupFileSystem-group del proceso ptrace.tracee.fsuidFileSystem-uid del proceso ptrace.tracee.fsuserFileSystem-user del proceso ptrace.tracee.gidGID del proceso ptrace.tracee.groupGrupo del proceso ptrace.tracee.interpreter.file.change_timeHora de modificación (ctime) del archivo ptrace.tracee.interpreter.file.filesystemSistema del archivo ptrace.tracee.interpreter.file.gidGID del propietario del archivo ptrace.tracee.interpreter.file.groupGrupo del propietario del archivo ptrace.tracee.interpreter.file.hashes[Experimental] Lista de hashes criptográficos calculados para este archivo ptrace.tracee.interpreter.file.in_upper_layerIndicador de la capa de archivo, por ejemplo, en un OverlayFS ptrace.tracee.interpreter.file.inodeNodo índice del archivo ptrace.tracee.interpreter.file.modeModo del archivo ptrace.tracee.interpreter.file.modification_timeHora de modificación (mtime) del archivo ptrace.tracee.interpreter.file.mount_idID de montaje del archivo ptrace.tracee.interpreter.file.nameNombre base del archivo ptrace.tracee.interpreter.file.name.lengthLongitud de la cadena correspondiente ptrace.tracee.interpreter.file.package.name[Experimental] Nombre del paquete que proporcionó este archivo ptrace.tracee.interpreter.file.package.source_version[Experimental] Versión completa del paquete fuente del paquete que proporcionó este archivo ptrace.tracee.interpreter.file.package.version[Experimental] Versión completa del paquete que proporcionó este archivo ptrace.tracee.interpreter.file.pathRuta del archivo ptrace.tracee.interpreter.file.path.lengthLongitud de la cadena correspondiente ptrace.tracee.interpreter.file.rightsDerechos del archivo ptrace.tracee.interpreter.file.uidUID del propietario del archivo ptrace.tracee.interpreter.file.userUsuario del propietario del archivo ptrace.tracee.is_kworkerIndica si el proceso es un kworker ptrace.tracee.is_threadIndica si el proceso se considera un subproceso (es decir, un proceso secundario que no ha ejecutado otro programa) ptrace.tracee.parent.argsArgumentos del proceso (como cadena, excluyendo argv0) ptrace.tracee.parent.args_flagsIndicadores en los argumentos de proceso ptrace.tracee.parent.args_optionsArgumento del proceso como opciones ptrace.tracee.parent.args_truncatedIndicador del truncamiento de argumentos ptrace.tracee.parent.argvArgumentos del proceso (como matriz, excluyendo argv0) ptrace.tracee.parent.argv0Primer argumento del proceso ptrace.tracee.parent.auidUID de inicio de sesión del proceso ptrace.tracee.parent.cap_effectiveConjunto de capacidades efectivas del proceso ptrace.tracee.parent.cap_permittedConjunto de capacidades permitidas del proceso ptrace.tracee.parent.cgroup.file.inodeNodo índice del archivo ptrace.tracee.parent.cgroup.file.mount_idID de montaje del archivo ptrace.tracee.parent.cgroup.idID del cgroup ptrace.tracee.parent.cgroup.managerGestor del ciclo de vida del cgroup ptrace.tracee.parent.commAtributo Comm del proceso ptrace.tracee.parent.container.idID del contenedor ptrace.tracee.parent.created_atMarca de tiempo de la creación del proceso ptrace.tracee.parent.egidGID efectivo del proceso ptrace.tracee.parent.egroupGrupo efectivo del proceso ptrace.tracee.parent.envpVariables de entorno del proceso ptrace.tracee.parent.envsNombres de variables de entorno del proceso ptrace.tracee.parent.envs_truncatedIndicador de truncamiento de variables de entorno ptrace.tracee.parent.euidUID efectivo del proceso ptrace.tracee.parent.euserUsuario efectivo del proceso ptrace.tracee.parent.file.change_timeHora de modificación (ctime) del archivo ptrace.tracee.parent.file.filesystemSistema del archivo ptrace.tracee.parent.file.gidGID del propietario del archivo ptrace.tracee.parent.file.groupGrupo del propietario del archivo ptrace.tracee.parent.file.hashes[Experimental] Lista de hashes criptográficos calculados para este archivo ptrace.tracee.parent.file.in_upper_layerIndicador de la capa de archivo, por ejemplo, en un OverlayFS ptrace.tracee.parent.file.inodeNodo índice del archivo ptrace.tracee.parent.file.modeModo del archivo ptrace.tracee.parent.file.modification_timeHora de modificación (mtime) del archivo ptrace.tracee.parent.file.mount_idID de montaje del archivo ptrace.tracee.parent.file.nameNombre base del archivo ptrace.tracee.parent.file.name.lengthLongitud de la cadena correspondiente ptrace.tracee.parent.file.package.name[Experimental] Nombre del paquete que proporcionó este archivo ptrace.tracee.parent.file.package.source_version[Experimental] Versión completa del paquete fuente del paquete que proporcionó este archivo ptrace.tracee.parent.file.package.version[Experimental] Versión completa del paquete que proporcionó este archivo ptrace.tracee.parent.file.pathRuta del archivo ptrace.tracee.parent.file.path.lengthLongitud de la cadena correspondiente ptrace.tracee.parent.file.rightsDerechos del archivo ptrace.tracee.parent.file.uidUID del propietario del archivo ptrace.tracee.parent.file.userUsuario del propietario del archivo ptrace.tracee.parent.fsgidFileSystem-gid del proceso ptrace.tracee.parent.fsgroupFileSystem-group del proceso ptrace.tracee.parent.fsuidFileSystem-uid del proceso ptrace.tracee.parent.fsuserFileSystem-user del proceso ptrace.tracee.parent.gidGID del proceso ptrace.tracee.parent.groupGrupo del proceso ptrace.tracee.parent.interpreter.file.change_timeHora de modificación (ctime) del archivo ptrace.tracee.parent.interpreter.file.filesystemSistema del archivo ptrace.tracee.parent.interpreter.file.gidGID del propietario del archivo ptrace.tracee.parent.interpreter.file.groupGrupo del propietario del archivo ptrace.tracee.parent.interpreter.file.hashes[Experimental] Lista de hashes criptográficos calculados para este archivo ptrace.tracee.parent.interpreter.file.in_upper_layerIndicador de la capa de archivo, por ejemplo, en un OverlayFS ptrace.tracee.parent.interpreter.file.inodeNodo índice del archivo ptrace.tracee.parent.interpreter.file.modeModo del archivo ptrace.tracee.parent.interpreter.file.modification_timeHora de modificación (mtime) del archivo ptrace.tracee.parent.interpreter.file.mount_idID de montaje del archivo ptrace.tracee.parent.interpreter.file.nameNombre base del archivo ptrace.tracee.parent.interpreter.file.name.lengthLongitud de la cadena correspondiente ptrace.tracee.parent.interpreter.file.package.name[Experimental] Nombre del paquete que proporcionó este archivo ptrace.tracee.parent.interpreter.file.package.source_version[Experimental] Versión completa del paquete fuente del paquete que proporcionó este archivo ptrace.tracee.parent.interpreter.file.package.version[Experimental] Versión completa del paquete que proporcionó este archivo ptrace.tracee.parent.interpreter.file.pathRuta del archivo ptrace.tracee.parent.interpreter.file.path.lengthLongitud de la cadena correspondiente ptrace.tracee.parent.interpreter.file.rightsDerechos del archivo ptrace.tracee.parent.interpreter.file.uidUID del propietario del archivo ptrace.tracee.parent.interpreter.file.userUsuario del propietario del archivo ptrace.tracee.parent.is_kworkerIndica si el proceso es un kworker ptrace.tracee.parent.is_threadIndica si el proceso se considera un subproceso (es decir, un proceso secundario que no ha ejecutado otro programa) ptrace.tracee.parent.pidID de proceso del proceso (también llamado ID de grupo del subproceso) ptrace.tracee.parent.ppidID del proceso principal ptrace.tracee.parent.tidID del subproceso ptrace.tracee.parent.tty_nameNombre del TTY asociado al proceso ptrace.tracee.parent.uidUID del proceso ptrace.tracee.parent.userUsuario del proceso ptrace.tracee.parent.user_session.k8s_groupsGrupos de Kubernetes del usuario que ejecutó el proceso ptrace.tracee.parent.user_session.k8s_uidUID de Kubernetes del usuario que ejecutó el proceso ptrace.tracee.parent.user_session.k8s_usernameNombre de usuario de Kubernetes del usuario que ejecutó el proceso ptrace.tracee.pidID de proceso del proceso (también llamado ID de grupo del subproceso) ptrace.tracee.ppidID del proceso principal ptrace.tracee.tidID del subproceso ptrace.tracee.tty_nameNombre del TTY asociado al proceso ptrace.tracee.uidUID del proceso ptrace.tracee.userUsuario del proceso ptrace.tracee.user_session.k8s_groupsGrupos de Kubernetes del usuario que ejecutó el proceso ptrace.tracee.user_session.k8s_uidUID de Kubernetes del usuario que ejecutó el proceso ptrace.tracee.user_session.k8s_usernameNombre de usuario de Kubernetes del usuario que ejecutó el proceso
Evento removexattr Eliminar atributos ampliados
Evento rename Se ha renombrado un archivo/directorio
Evento rmdir Se ha eliminado un directorio
Evento selinux Se ha ejecutado una operación SELinux
Evento setgid Un proceso cambió su gid efectivo
Evento setuid Un proceso cambió su uid efectivo
Evento setxattr Establecer atributos ampliados
Evento signal Se envió una señal
Propiedad Definición signal.pidPID objetivo signal.retvalValor de retorno de syscall signal.target.ancestors.argsArgumentos del proceso (como cadena, excluyendo argv0) signal.target.ancestors.args_flagsIndicadores en los argumentos de proceso signal.target.ancestors.args_optionsArgumento del proceso como opciones signal.target.ancestors.args_truncatedIndicador del truncamiento de argumentos signal.target.ancestors.argvArgumentos del proceso (como matriz, excluyendo argv0) signal.target.ancestors.argv0Primer argumento del proceso signal.target.ancestors.auidUID de inicio de sesión del proceso signal.target.ancestors.cap_effectiveConjunto de capacidades efectivas del proceso signal.target.ancestors.cap_permittedConjunto de capacidades permitidas del proceso signal.target.ancestors.cgroup.file.inodeNodo índice del archivo signal.target.ancestors.cgroup.file.mount_idID de montaje del archivo signal.target.ancestors.cgroup.idID del cgroup signal.target.ancestors.cgroup.managerGestor del ciclo de vida del cgroup signal.target.ancestors.commAtributo Comm del proceso signal.target.ancestors.container.idID del contenedor signal.target.ancestors.created_atMarca de tiempo de la creación del proceso signal.target.ancestors.egidGID efectivo del proceso signal.target.ancestors.egroupGrupo efectivo del proceso signal.target.ancestors.envpVariables de entorno del proceso signal.target.ancestors.envsNombres de variables de entorno del proceso signal.target.ancestors.envs_truncatedIndicador de truncamiento de variables de entorno signal.target.ancestors.euidUID efectivo del proceso signal.target.ancestors.euserUsuario efectivo del proceso signal.target.ancestors.file.change_timeHora de modificación (ctime) del archivo signal.target.ancestors.file.filesystemSistema del archivo signal.target.ancestors.file.gidGID del propietario del archivo signal.target.ancestors.file.groupGrupo del propietario del archivo signal.target.ancestors.file.hashes[Experimental] Lista de hashes criptográficos calculados para este archivo signal.target.ancestors.file.in_upper_layerIndicador de la capa de archivo, por ejemplo, en un OverlayFS signal.target.ancestors.file.inodeNodo índice del archivo signal.target.ancestors.file.modeModo del archivo signal.target.ancestors.file.modification_timeHora de modificación (mtime) del archivo signal.target.ancestors.file.mount_idID de montaje del archivo signal.target.ancestors.file.nameNombre base del archivo signal.target.ancestors.file.name.lengthLongitud de la cadena correspondiente signal.target.ancestors.file.package.name[Experimental] Nombre del paquete que proporcionó este archivo signal.target.ancestors.file.package.source_version[Experimental] Versión completa del paquete fuente del paquete que proporcionó este archivo signal.target.ancestors.file.package.version[Experimental] Versión completa del paquete que proporcionó este archivo signal.target.ancestors.file.pathRuta del archivo signal.target.ancestors.file.path.lengthLongitud de la cadena correspondiente signal.target.ancestors.file.rightsDerechos del archivo signal.target.ancestors.file.uidUID del propietario del archivo signal.target.ancestors.file.userUsuario del propietario del archivo signal.target.ancestors.fsgidFileSystem-gid del proceso signal.target.ancestors.fsgroupFileSystem-group del proceso signal.target.ancestors.fsuidFileSystem-uid del proceso signal.target.ancestors.fsuserFileSystem-user del proceso signal.target.ancestors.gidGID del proceso signal.target.ancestors.groupGrupo del proceso signal.target.ancestors.interpreter.file.change_timeHora de modificación (ctime) del archivo signal.target.ancestors.interpreter.file.filesystemSistema del archivo signal.target.ancestors.interpreter.file.gidGID del propietario del archivo signal.target.ancestors.interpreter.file.groupGrupo del propietario del archivo signal.target.ancestors.interpreter.file.hashes[Experimental] Lista de hashes criptográficos calculados para este archivo signal.target.ancestors.interpreter.file.in_upper_layerIndicador de la capa de archivo, por ejemplo, en un OverlayFS signal.target.ancestors.interpreter.file.inodeNodo índice del archivo signal.target.ancestors.interpreter.file.modeModo del archivo signal.target.ancestors.interpreter.file.modification_timeHora de modificación (mtime) del archivo signal.target.ancestors.interpreter.file.mount_idID de montaje del archivo signal.target.ancestors.interpreter.file.nameNombre base del archivo signal.target.ancestors.interpreter.file.name.lengthLongitud de la cadena correspondiente signal.target.ancestors.interpreter.file.package.name[Experimental] Nombre del paquete que proporcionó este archivo signal.target.ancestors.interpreter.file.package.source_version[Experimental] Versión completa del paquete fuente del paquete que proporcionó este archivo signal.target.ancestors.interpreter.file.package.version[Experimental] Versión completa del paquete que proporcionó este archivo signal.target.ancestors.interpreter.file.pathRuta del archivo signal.target.ancestors.interpreter.file.path.lengthLongitud de la cadena correspondiente signal.target.ancestors.interpreter.file.rightsDerechos del archivo signal.target.ancestors.interpreter.file.uidUID del propietario del archivo signal.target.ancestors.interpreter.file.userUsuario del propietario del archivo signal.target.ancestors.is_kworkerIndica si el proceso es un kworker signal.target.ancestors.is_threadIndica si el proceso se considera un subproceso (es decir, un proceso secundario que no ha ejecutado otro programa) signal.target.ancestors.pidID de proceso del proceso (también llamado ID de grupo del subproceso) signal.target.ancestors.ppidID del proceso principal signal.target.ancestors.tidID del subproceso signal.target.ancestors.tty_nameNombre del TTY asociado al proceso signal.target.ancestors.uidUID del proceso signal.target.ancestors.userUsuario del proceso signal.target.ancestors.user_session.k8s_groupsGrupos de Kubernetes del usuario que ejecutó el proceso signal.target.ancestors.user_session.k8s_uidUID de Kubernetes del usuario que ejecutó el proceso signal.target.ancestors.user_session.k8s_usernameNombre de usuario de Kubernetes del usuario que ejecutó el proceso signal.target.argsArgumentos del proceso (como cadena, excluyendo argv0) signal.target.args_flagsIndicadores en los argumentos de proceso signal.target.args_optionsArgumento del proceso como opciones signal.target.args_truncatedIndicador del truncamiento de argumentos signal.target.argvArgumentos del proceso (como matriz, excluyendo argv0) signal.target.argv0Primer argumento del proceso signal.target.auidUID de inicio de sesión del proceso signal.target.cap_effectiveConjunto de capacidades efectivas del proceso signal.target.cap_permittedConjunto de capacidades permitidas del proceso signal.target.cgroup.file.inodeNodo índice del archivo signal.target.cgroup.file.mount_idID de montaje del archivo signal.target.cgroup.idID del cgroup signal.target.cgroup.managerGestor del ciclo de vida del cgroup signal.target.commAtributo Comm del proceso signal.target.container.idID del contenedor signal.target.created_atMarca de tiempo de la creación del proceso signal.target.egidGID efectivo del proceso signal.target.egroupGrupo efectivo del proceso signal.target.envpVariables de entorno del proceso signal.target.envsNombres de variables de entorno del proceso signal.target.envs_truncatedIndicador de truncamiento de variables de entorno signal.target.euidUID efectivo del proceso signal.target.euserUsuario efectivo del proceso signal.target.file.change_timeHora de modificación (ctime) del archivo signal.target.file.filesystemSistema del archivo signal.target.file.gidGID del propietario del archivo signal.target.file.groupGrupo del propietario del archivo signal.target.file.hashes[Experimental] Lista de hashes criptográficos calculados para este archivo signal.target.file.in_upper_layerIndicador de la capa de archivo, por ejemplo, en un OverlayFS signal.target.file.inodeNodo índice del archivo signal.target.file.modeModo del archivo signal.target.file.modification_timeHora de modificación (mtime) del archivo signal.target.file.mount_idID de montaje del archivo signal.target.file.nameNombre base del archivo signal.target.file.name.lengthLongitud de la cadena correspondiente signal.target.file.package.name[Experimental] Nombre del paquete que proporcionó este archivo signal.target.file.package.source_version[Experimental] Versión completa del paquete fuente del paquete que proporcionó este archivo signal.target.file.package.version[Experimental] Versión completa del paquete que proporcionó este archivo signal.target.file.pathRuta del archivo signal.target.file.path.lengthLongitud de la cadena correspondiente signal.target.file.rightsDerechos del archivo signal.target.file.uidUID del propietario del archivo signal.target.file.userUsuario del propietario del archivo signal.target.fsgidFileSystem-gid del proceso signal.target.fsgroupFileSystem-group del proceso signal.target.fsuidFileSystem-uid del proceso signal.target.fsuserFileSystem-user del proceso signal.target.gidGID del proceso signal.target.groupGrupo del proceso signal.target.interpreter.file.change_timeHora de modificación (ctime) del archivo signal.target.interpreter.file.filesystemSistema del archivo signal.target.interpreter.file.gidGID del propietario del archivo signal.target.interpreter.file.groupGrupo del propietario del archivo signal.target.interpreter.file.hashes[Experimental] Lista de hashes criptográficos calculados para este archivo signal.target.interpreter.file.in_upper_layerIndicador de la capa de archivo, por ejemplo, en un OverlayFS signal.target.interpreter.file.inodeNodo índice del archivo signal.target.interpreter.file.modeModo del archivo signal.target.interpreter.file.modification_timeHora de modificación (mtime) del archivo signal.target.interpreter.file.mount_idID de montaje del archivo signal.target.interpreter.file.nameNombre base del archivo signal.target.interpreter.file.name.lengthLongitud de la cadena correspondiente signal.target.interpreter.file.package.name[Experimental] Nombre del paquete que proporcionó este archivo signal.target.interpreter.file.package.source_version[Experimental] Versión completa del paquete fuente del paquete que proporcionó este archivo signal.target.interpreter.file.package.version[Experimental] Versión completa del paquete que proporcionó este archivo signal.target.interpreter.file.pathRuta del archivo signal.target.interpreter.file.path.lengthLongitud de la cadena correspondiente signal.target.interpreter.file.rightsDerechos del archivo signal.target.interpreter.file.uidUID del propietario del archivo signal.target.interpreter.file.userUsuario del propietario del archivo signal.target.is_kworkerIndica si el proceso es un kworker signal.target.is_threadIndica si el proceso se considera un subproceso (es decir, un proceso secundario que no ha ejecutado otro programa) signal.target.parent.argsArgumentos del proceso (como cadena, excluyendo argv0) signal.target.parent.args_flagsIndicadores en los argumentos de proceso signal.target.parent.args_optionsArgumento del proceso como opciones signal.target.parent.args_truncatedIndicador del truncamiento de argumentos signal.target.parent.argvArgumentos del proceso (como matriz, excluyendo argv0) signal.target.parent.argv0Primer argumento del proceso signal.target.parent.auidUID de inicio de sesión del proceso signal.target.parent.cap_effectiveConjunto de capacidades efectivas del proceso signal.target.parent.cap_permittedConjunto de capacidades permitidas del proceso signal.target.parent.cgroup.file.inodeNodo índice del archivo signal.target.parent.cgroup.file.mount_idID de montaje del archivo signal.target.parent.cgroup.idID del cgroup signal.target.parent.cgroup.managerGestor del ciclo de vida del cgroup signal.target.parent.commAtributo Comm del proceso signal.target.parent.container.idID del contenedor signal.target.parent.created_atMarca de tiempo de la creación del proceso signal.target.parent.egidGID efectivo del proceso signal.target.parent.egroupGrupo efectivo del proceso signal.target.parent.envpVariables de entorno del proceso signal.target.parent.envsNombres de variables de entorno del proceso signal.target.parent.envs_truncatedIndicador de truncamiento de variables de entorno signal.target.parent.euidUID efectivo del proceso signal.target.parent.euserUsuario efectivo del proceso signal.target.parent.file.change_timeHora de modificación (ctime) del archivo signal.target.parent.file.filesystemSistema del archivo signal.target.parent.file.gidGID del propietario del archivo signal.target.parent.file.groupGrupo del propietario del archivo signal.target.parent.file.hashes[Experimental] Lista de hashes criptográficos calculados para este archivo signal.target.parent.file.in_upper_layerIndicador de la capa de archivo, por ejemplo, en un OverlayFS signal.target.parent.file.inodeNodo índice del archivo signal.target.parent.file.modeModo del archivo signal.target.parent.file.modification_timeHora de modificación (mtime) del archivo signal.target.parent.file.mount_idID de montaje del archivo signal.target.parent.file.nameNombre base del archivo signal.target.parent.file.name.lengthLongitud de la cadena correspondiente signal.target.parent.file.package.name[Experimental] Nombre del paquete que proporcionó este archivo signal.target.parent.file.package.source_version[Experimental] Versión completa del paquete fuente del paquete que proporcionó este archivo signal.target.parent.file.package.version[Experimental] Versión completa del paquete que proporcionó este archivo signal.target.parent.file.pathRuta del archivo signal.target.parent.file.path.lengthLongitud de la cadena correspondiente signal.target.parent.file.rightsDerechos del archivo signal.target.parent.file.uidUID del propietario del archivo signal.target.parent.file.userUsuario del propietario del archivo signal.target.parent.fsgidFileSystem-gid del proceso signal.target.parent.fsgroupFileSystem-group del proceso signal.target.parent.fsuidFileSystem-uid del proceso signal.target.parent.fsuserFileSystem-user del proceso signal.target.parent.gidGID del proceso signal.target.parent.groupGrupo del proceso signal.target.parent.interpreter.file.change_timeHora de modificación (ctime) del archivo signal.target.parent.interpreter.file.filesystemSistema del archivo signal.target.parent.interpreter.file.gidGID del propietario del archivo signal.target.parent.interpreter.file.groupGrupo del propietario del archivo signal.target.parent.interpreter.file.hashes[Experimental] Lista de hashes criptográficos calculados para este archivo signal.target.parent.interpreter.file.in_upper_layerIndicador de la capa de archivo, por ejemplo, en un OverlayFS signal.target.parent.interpreter.file.inodeNodo índice del archivo signal.target.parent.interpreter.file.modeModo del archivo signal.target.parent.interpreter.file.modification_timeHora de modificación (mtime) del archivo signal.target.parent.interpreter.file.mount_idID de montaje del archivo signal.target.parent.interpreter.file.nameNombre base del archivo signal.target.parent.interpreter.file.name.lengthLongitud de la cadena correspondiente signal.target.parent.interpreter.file.package.name[Experimental] Nombre del paquete que proporcionó este archivo signal.target.parent.interpreter.file.package.source_version[Experimental] Versión completa del paquete fuente del paquete que proporcionó este archivo signal.target.parent.interpreter.file.package.version[Experimental] Versión completa del paquete que proporcionó este archivo signal.target.parent.interpreter.file.pathRuta del archivo signal.target.parent.interpreter.file.path.lengthLongitud de la cadena correspondiente signal.target.parent.interpreter.file.rightsDerechos del archivo signal.target.parent.interpreter.file.uidUID del propietario del archivo signal.target.parent.interpreter.file.userUsuario del propietario del archivo signal.target.parent.is_kworkerIndica si el proceso es un kworker signal.target.parent.is_threadIndica si el proceso se considera un subproceso (es decir, un proceso secundario que no ha ejecutado otro programa) signal.target.parent.pidID de proceso del proceso (también llamado ID de grupo del subproceso) signal.target.parent.ppidID del proceso principal signal.target.parent.tidID del subproceso signal.target.parent.tty_nameNombre del TTY asociado al proceso signal.target.parent.uidUID del proceso signal.target.parent.userUsuario del proceso signal.target.parent.user_session.k8s_groupsGrupos de Kubernetes del usuario que ejecutó el proceso signal.target.parent.user_session.k8s_uidUID de Kubernetes del usuario que ejecutó el proceso signal.target.parent.user_session.k8s_usernameNombre de usuario de Kubernetes del usuario que ejecutó el proceso signal.target.pidID de proceso del proceso (también llamado ID de grupo del subproceso) signal.target.ppidID del proceso principal signal.target.tidID del subproceso signal.target.tty_nameNombre del TTY asociado al proceso signal.target.uidUID del proceso signal.target.userUsuario del proceso signal.target.user_session.k8s_groupsGrupos de Kubernetes del usuario que ejecutó el proceso signal.target.user_session.k8s_uidUID de Kubernetes del usuario que ejecutó el proceso signal.target.user_session.k8s_usernameNombre de usuario de Kubernetes del usuario que ejecutó el proceso signal.typeTipo de señal (por ejemplo: SIGHUP, SIGINT, SIGQUIT, etc.)
Evento splice Se ha ejecutado un comando splice
Evento unlink Se ha eliminado un archivo
Evento unload_module Se ha eliminado un módulo del kernel
Evento utimes Modificar los tiempos de acceso/modificación de archivos
Documentación sobre atributos *.argsTipo: cadena
Definición: argumentos del proceso (como cadena, excluyendo argv0)
*.args tiene 11 prefijos posibles:
exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent
Ejemplo:
Copy
exec . args == "-sV -p 22,53,110,143,4564 198.116.0-255.1-127" Coincide con cualquier proceso con estos argumentos exactos.
Ejemplo:
Copy
exec . args =~ "* -F * http*" Coincide con cualquier proceso que tenga el argumento “-F” en cualquier lugar antes de un argumento que empiece por “http”.
*.args_flagsTipo: cadena
Definición: indicadores en los argumentos del proceso
*.args_flags tiene 11 prefijos posibles:
exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent
Ejemplo:
Copy
exec . args_flags in [ "s" ] && exec . args_flags in [ "V" ] Coincide con cualquier proceso que incluya las opciones “-s” y “-V” en sus argumentos. También coincide con “-sV”.
*.args_optionsTipo: cadena
Definición: argumento del proceso como opciones
*.args_options tiene 11 prefijos posibles:
exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent
Ejemplo:
Copy
exec . args_options in [ "p=0-1024" ] Coincide con cualquier proceso que tenga “-p 0-1024” o “–p=0-1024” en sus argumentos.
*.args_truncatedTipo: booleano
Definición: indicador del truncamiento de argumentos
*.args_truncated tiene 11 prefijos posibles:
exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent
*.argvTipo: cadena
Definición: argumentos del proceso (como matriz, excluyendo argv0)
*.argv tiene 11 prefijos posibles:
exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent
Ejemplo:
Copy
exec . argv in [ "127.0.0.1" ] Coincide con cualquier proceso que tenga esta dirección IP como uno de sus argumentos.
*.argv0Tipo: cadena
Definición: primer argumento del proceso
*.argv0 tiene 11 prefijos posibles:
exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent
*.auidTipo: entero
Definición: UID de inicio de sesión del proceso
*.auid tiene 11 prefijos posibles:
exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent
*.cap_effectiveTipo: entero
Definición: conjunto de capacidades efectivas del proceso
*.cap_effective tiene 11 prefijos posibles:
exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent
Constantes: constantes de capacidad del kernel
*.cap_permittedTipo: entero
Definición: conjunto de capacidades permitidas del proceso
*.cap_permitted tiene 11 prefijos posibles:
exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent
Constantes: constantes de capacidad del kernel
*.change_timeTipo: entero
Definición: hora de modificación (ctime) del archivo
*.change_time tiene 39 prefijos posibles:
chdir.file chmod.file chown.file exec.file exec.interpreter.file exit.file exit.interpreter.file link.file link.file.destination load_module.file mkdir.file mmap.file open.file process.ancestors.file process.ancestors.interpreter.file process.file process.interpreter.file process.parent.file process.parent.interpreter.file ptrace.tracee.ancestors.file ptrace.tracee.ancestors.interpreter.file ptrace.tracee.file ptrace.tracee.interpreter.file ptrace.tracee.parent.file ptrace.tracee.parent.interpreter.file removexattr.file rename.file rename.file.destination rmdir.file setxattr.file signal.target.ancestors.file signal.target.ancestors.interpreter.file signal.target.file signal.target.interpreter.file signal.target.parent.file signal.target.parent.interpreter.file splice.file unlink.file utimes.file
*.commTipo: cadena
Definición: atributo Comm del proceso
*.comm tiene 11 prefijos posibles:
exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent
*.container.idTipo: cadena
Definición: ID del contenedor
*.container.id tiene 11 prefijos posibles:
exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent
*.created_atTipo: entero
Definición: marca de tiempo de la creación del proceso
*.created_at tiene 11 prefijos posibles:
exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent
*.egidTipo: entorno
Definición: GID efectivo del proceso
*.egid tiene 11 prefijos posibles:
exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent
*.egroupTipo: cadena
Definición: grupo efectivo del proceso
*.egroup tiene 11 prefijos posibles:
exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent
*.envpTipo: cadena
Definición: variables de entorno del proceso
*.envp tiene 11 prefijos posibles:
exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent
*.envsTipo: cadena
Definición: nombres de variable de entorno del proceso
*.envs tiene 11 prefijos posibles:
exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent
*.envs_truncatedTipo: booleano
Definición: indicador de truncamiento de variables de entorno
*.envs_truncated tiene 11 prefijos posibles:
exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent
*.euidTipo: entero
Definición: UID efectivo del proceso
*.euid tiene 11 prefijos posibles:
exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent
*.euserTipo: cadena
Definición: usuario efectivo del proceso
*.euser tiene 11 prefijos posibles:
exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent
*.file.destination.nameTipo: cadena
Definición: nombre del atributo extendido
*.file.destination.name tiene 2 prefijos posibles:
removexattr setxattr
*.file.destination.namespaceTipo: cadena
Definición: espacio de nombres del atributo extendido
*.file.destination.namespace tiene 2 prefijos posibles:
removexattr setxattr
*.filesystemTipo: cadena
Definición: sistema del archivo
*.filesystem tiene 39 prefijos posibles:
chdir.file chmod.file chown.file exec.file exec.interpreter.file exit.file exit.interpreter.file link.file link.file.destination load_module.file mkdir.file mmap.file open.file process.ancestors.file process.ancestors.interpreter.file process.file process.interpreter.file process.parent.file process.parent.interpreter.file ptrace.tracee.ancestors.file ptrace.tracee.ancestors.interpreter.file ptrace.tracee.file ptrace.tracee.interpreter.file ptrace.tracee.parent.file ptrace.tracee.parent.interpreter.file removexattr.file rename.file rename.file.destination rmdir.file setxattr.file signal.target.ancestors.file signal.target.ancestors.interpreter.file signal.target.file signal.target.interpreter.file signal.target.parent.file signal.target.parent.interpreter.file splice.file unlink.file utimes.file
*.fsgidTipo: entero
Definición: FileSystem-gid del proceso
*.fsgid tiene 11 prefijos posibles:
exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent
*.fsgroupTipo: cadena
Definición: FileSystem-group del proceso
*.fsgroup tiene 11 prefijos posibles:
exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent
*.fsuidTipo: entorno
Definición: FileSystem-uid del proceso
*.fsuid tiene 11 prefijos posibles:
exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent
*.fsuserTipo: cadena
Definición: FileSystem-user del proceso
*.fsuser tiene 11 prefijos posibles:
exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent
*.gidTipo: entero
Definición: GID del proceso
*.gid tiene 11 prefijos posibles:
exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent
*.gidTipo: entorno
Definición: GID del propietario del archivo
*.gid tiene 39 prefijos posibles:
chdir.file chmod.file chown.file exec.file exec.interpreter.file exit.file exit.interpreter.file link.file link.file.destination load_module.file mkdir.file mmap.file open.file process.ancestors.file process.ancestors.interpreter.file process.file process.interpreter.file process.parent.file process.parent.interpreter.file ptrace.tracee.ancestors.file ptrace.tracee.ancestors.interpreter.file ptrace.tracee.file ptrace.tracee.interpreter.file ptrace.tracee.parent.file ptrace.tracee.parent.interpreter.file removexattr.file rename.file rename.file.destination rmdir.file setxattr.file signal.target.ancestors.file signal.target.ancestors.interpreter.file signal.target.file signal.target.interpreter.file signal.target.parent.file signal.target.parent.interpreter.file splice.file unlink.file utimes.file
*.groupTipo: cadena
Definición: grupo del proceso
*.group tiene 11 prefijos posibles:
exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent
*.groupTipo: cadena
Definición: grupo del propietario del archivo
*.group tiene 39 prefijos posibles:
chdir.file chmod.file chown.file exec.file exec.interpreter.file exit.file exit.interpreter.file link.file link.file.destination load_module.file mkdir.file mmap.file open.file process.ancestors.file process.ancestors.interpreter.file process.file process.interpreter.file process.parent.file process.parent.interpreter.file ptrace.tracee.ancestors.file ptrace.tracee.ancestors.interpreter.file ptrace.tracee.file ptrace.tracee.interpreter.file ptrace.tracee.parent.file ptrace.tracee.parent.interpreter.file removexattr.file rename.file rename.file.destination rmdir.file setxattr.file signal.target.ancestors.file signal.target.ancestors.interpreter.file signal.target.file signal.target.interpreter.file signal.target.parent.file signal.target.parent.interpreter.file splice.file unlink.file utimes.file
*.hashesTipo: cadena
Definición: [Experimental] Lista de hashes criptográficos calculados para este archivo
*.hashes tiene 39 prefijos posibles:
chdir.file chmod.file chown.file exec.file exec.interpreter.file exit.file exit.interpreter.file link.file link.file.destination load_module.file mkdir.file mmap.file open.file process.ancestors.file process.ancestors.interpreter.file process.file process.interpreter.file process.parent.file process.parent.interpreter.file ptrace.tracee.ancestors.file ptrace.tracee.ancestors.interpreter.file ptrace.tracee.file ptrace.tracee.interpreter.file ptrace.tracee.parent.file ptrace.tracee.parent.interpreter.file removexattr.file rename.file rename.file.destination rmdir.file setxattr.file signal.target.ancestors.file signal.target.ancestors.interpreter.file signal.target.file signal.target.interpreter.file signal.target.parent.file signal.target.parent.interpreter.file splice.file unlink.file utimes.file
*.idTipo: cadena
Definición: ID del cgroup
*.id tiene 12 prefijos posibles:
cgroup exec.cgroup exit.cgroup process.ancestors.cgroup process.cgroup process.parent.cgroup ptrace.tracee.ancestors.cgroup ptrace.tracee.cgroup ptrace.tracee.parent.cgroup signal.target.ancestors.cgroup signal.target.cgroup signal.target.parent.cgroup
*.in_upper_layerTipo: booleano
Definición: indicador de la capa del archivo, por ejemplo, en un OverlayFS.
*.in_upper_layer tiene 39 prefijos posibles:
chdir.file chmod.file chown.file exec.file exec.interpreter.file exit.file exit.interpreter.file link.file link.file.destination load_module.file mkdir.file mmap.file open.file process.ancestors.file process.ancestors.interpreter.file process.file process.interpreter.file process.parent.file process.parent.interpreter.file ptrace.tracee.ancestors.file ptrace.tracee.ancestors.interpreter.file ptrace.tracee.file ptrace.tracee.interpreter.file ptrace.tracee.parent.file ptrace.tracee.parent.interpreter.file removexattr.file rename.file rename.file.destination rmdir.file setxattr.file signal.target.ancestors.file signal.target.ancestors.interpreter.file signal.target.file signal.target.interpreter.file signal.target.parent.file signal.target.parent.interpreter.file splice.file unlink.file utimes.file
*.inodeTipo: entero
Definición: nodo índice del proceso
*.inode tiene 51 prefijos posibles:
cgroup.file chdir.file chmod.file chown.file exec.cgroup.file exec.file exec.interpreter.file exit.cgroup.file exit.file exit.interpreter.file link.file link.file.destination load_module.file mkdir.file mmap.file open.file process.ancestors.cgroup.file process.ancestors.file process.ancestors.interpreter.file process.cgroup.file process.file process.interpreter.file process.parent.cgroup.file process.parent.file process.parent.interpreter.file ptrace.tracee.ancestors.cgroup.file ptrace.tracee.ancestors.file ptrace.tracee.ancestors.interpreter.file ptrace.tracee.cgroup.file ptrace.tracee.file ptrace.tracee.interpreter.file ptrace.tracee.parent.cgroup.file ptrace.tracee.parent.file ptrace.tracee.parent.interpreter.file removexattr.file rename.file rename.file.destination rmdir.file setxattr.file signal.target.ancestors.cgroup.file signal.target.ancestors.file signal.target.ancestors.interpreter.file signal.target.cgroup.file signal.target.file signal.target.interpreter.file signal.target.parent.cgroup.file signal.target.parent.file signal.target.parent.interpreter.file splice.file unlink.file utimes.file
*.ipTipo: IP/CIDR
Definición: dirección IP
*.ip tiene 3 prefijos posibles:
bind.addr network.destination network.source
*.is_kworkerTipo: booleano
Definición: indica si el proceso es un kworker
*.is_kworker tiene 11 prefijos posibles:
exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent
*.is_threadTipo: booleano
Definición: indica si el proceso se considera un subproceso (es decir, un proceso secundario que no ha ejecutado otro programa)
*.is_thread tiene 11 prefijos posibles:
exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent
*.k8s_groupsTipo: cadena
Definición: grupos de Kubernetes del usuario que ejecutó el proceso
*.k8s_groups tiene 11 prefijos posibles:
exec.user_session exit.user_session process.ancestors.user_session process.parent.user_session process.user_session ptrace.tracee.ancestors.user_session ptrace.tracee.parent.user_session ptrace.tracee.user_session signal.target.ancestors.user_session signal.target.parent.user_session signal.target.user_session
*.k8s_uidTipo: cadena
Definición: UID de Kubernetes del usuario que ejecutó el proceso
*.k8s_uid tiene 11 prefijos posibles:
exec.user_session exit.user_session process.ancestors.user_session process.parent.user_session process.user_session ptrace.tracee.ancestors.user_session ptrace.tracee.parent.user_session ptrace.tracee.user_session signal.target.ancestors.user_session signal.target.parent.user_session signal.target.user_session
*.k8s_usernameTipo: cadena
Definición: nombre de usuario de Kubernetes del usuario que ejecutó el proceso
*.k8s_username tiene 11 prefijos posibles:
exec.user_session exit.user_session process.ancestors.user_session process.parent.user_session process.user_session ptrace.tracee.ancestors.user_session ptrace.tracee.parent.user_session ptrace.tracee.user_session signal.target.ancestors.user_session signal.target.parent.user_session signal.target.user_session
*.lengthTipo: entero
Definición: longitud de la cadena correspondiente
*.length tiene 79 prefijos posibles:
chdir.file.name chdir.file.path chmod.file.name chmod.file.path chown.file.name chown.file.path dns.question.name exec.file.name exec.file.path exec.interpreter.file.name exec.interpreter.file.path exit.file.name exit.file.path exit.interpreter.file.name exit.interpreter.file.path link.file.destination.name link.file.destination.path link.file.name link.file.path load_module.file.name load_module.file.path mkdir.file.name mkdir.file.path mmap.file.name mmap.file.path open.file.name open.file.path process.ancestors.file.name process.ancestors.file.path process.ancestors.interpreter.file.name process.ancestors.interpreter.file.path process.file.name process.file.path process.interpreter.file.name process.interpreter.file.path process.parent.file.name process.parent.file.path process.parent.interpreter.file.name process.parent.interpreter.file.path ptrace.tracee.ancestors.file.name ptrace.tracee.ancestors.file.path ptrace.tracee.ancestors.interpreter.file.name ptrace.tracee.ancestors.interpreter.file.path ptrace.tracee.file.name ptrace.tracee.file.path ptrace.tracee.interpreter.file.name ptrace.tracee.interpreter.file.path ptrace.tracee.parent.file.name ptrace.tracee.parent.file.path ptrace.tracee.parent.interpreter.file.name ptrace.tracee.parent.interpreter.file.path removexattr.file.name removexattr.file.path rename.file.destination.name rename.file.destination.path rename.file.name rename.file.path rmdir.file.name rmdir.file.path setxattr.file.name setxattr.file.path signal.target.ancestors.file.name signal.target.ancestors.file.path signal.target.ancestors.interpreter.file.name signal.target.ancestors.interpreter.file.path signal.target.file.name signal.target.file.path signal.target.interpreter.file.name signal.target.interpreter.file.path signal.target.parent.file.name signal.target.parent.file.path signal.target.parent.interpreter.file.name signal.target.parent.interpreter.file.path splice.file.name splice.file.path unlink.file.name unlink.file.path utimes.file.name utimes.file.path
*.managerTipo: cadena
Definición: gestor del ciclo de vida del cgroup
*.manager tiene 12 prefijos posibles:
cgroup exec.cgroup exit.cgroup process.ancestors.cgroup process.cgroup process.parent.cgroup ptrace.tracee.ancestors.cgroup ptrace.tracee.cgroup ptrace.tracee.parent.cgroup signal.target.ancestors.cgroup signal.target.cgroup signal.target.parent.cgroup
*.modeTipo: entero
Definición: modo del archivo
*.mode tiene 39 prefijos posibles:
chdir.file chmod.file chown.file exec.file exec.interpreter.file exit.file exit.interpreter.file link.file link.file.destination load_module.file mkdir.file mmap.file open.file process.ancestors.file process.ancestors.interpreter.file process.file process.interpreter.file process.parent.file process.parent.interpreter.file ptrace.tracee.ancestors.file ptrace.tracee.ancestors.interpreter.file ptrace.tracee.file ptrace.tracee.interpreter.file ptrace.tracee.parent.file ptrace.tracee.parent.interpreter.file removexattr.file rename.file rename.file.destination rmdir.file setxattr.file signal.target.ancestors.file signal.target.ancestors.interpreter.file signal.target.file signal.target.interpreter.file signal.target.parent.file signal.target.parent.interpreter.file splice.file unlink.file utimes.file
Constantes: constantes del modo del nodo índice
*.modification_timeTipo: entero
Definición: hora de modificación (mtime) del archivo
*.modification_time tiene 39 prefijos posibles:
chdir.file chmod.file chown.file exec.file exec.interpreter.file exit.file exit.interpreter.file link.file link.file.destination load_module.file mkdir.file mmap.file open.file process.ancestors.file process.ancestors.interpreter.file process.file process.interpreter.file process.parent.file process.parent.interpreter.file ptrace.tracee.ancestors.file ptrace.tracee.ancestors.interpreter.file ptrace.tracee.file ptrace.tracee.interpreter.file ptrace.tracee.parent.file ptrace.tracee.parent.interpreter.file removexattr.file rename.file rename.file.destination rmdir.file setxattr.file signal.target.ancestors.file signal.target.ancestors.interpreter.file signal.target.file signal.target.interpreter.file signal.target.parent.file signal.target.parent.interpreter.file splice.file unlink.file utimes.file
*.mount_idTipo: entero
Definición: ID de montaje del archivo
*.mount_id tiene 51 prefijos posibles:
cgroup.file chdir.file chmod.file chown.file exec.cgroup.file exec.file exec.interpreter.file exit.cgroup.file exit.file exit.interpreter.file link.file link.file.destination load_module.file mkdir.file mmap.file open.file process.ancestors.cgroup.file process.ancestors.file process.ancestors.interpreter.file process.cgroup.file process.file process.interpreter.file process.parent.cgroup.file process.parent.file process.parent.interpreter.file ptrace.tracee.ancestors.cgroup.file ptrace.tracee.ancestors.file ptrace.tracee.ancestors.interpreter.file ptrace.tracee.cgroup.file ptrace.tracee.file ptrace.tracee.interpreter.file ptrace.tracee.parent.cgroup.file ptrace.tracee.parent.file ptrace.tracee.parent.interpreter.file removexattr.file rename.file rename.file.destination rmdir.file setxattr.file signal.target.ancestors.cgroup.file signal.target.ancestors.file signal.target.ancestors.interpreter.file signal.target.cgroup.file signal.target.file signal.target.interpreter.file signal.target.parent.cgroup.file signal.target.parent.file signal.target.parent.interpreter.file splice.file unlink.file utimes.file
*.nameTipo: cadena
Definición: nombre base del archivo
*.name tiene 39 prefijos posibles:
chdir.file chmod.file chown.file exec.file exec.interpreter.file exit.file exit.interpreter.file link.file link.file.destination load_module.file mkdir.file mmap.file open.file process.ancestors.file process.ancestors.interpreter.file process.file process.interpreter.file process.parent.file process.parent.interpreter.file ptrace.tracee.ancestors.file ptrace.tracee.ancestors.interpreter.file ptrace.tracee.file ptrace.tracee.interpreter.file ptrace.tracee.parent.file ptrace.tracee.parent.interpreter.file removexattr.file rename.file rename.file.destination rmdir.file setxattr.file signal.target.ancestors.file signal.target.ancestors.interpreter.file signal.target.file signal.target.interpreter.file signal.target.parent.file signal.target.parent.interpreter.file splice.file unlink.file utimes.file
Ejemplo:
Coincide con la ejecución de cualquier archivo llamado apt.
*.package.nameTipo: cadena
Definición: [Experimental] nombre del paquete que proporcionó este archivo
*.package.name tiene 39 prefijos posibles:
chdir.file chmod.file chown.file exec.file exec.interpreter.file exit.file exit.interpreter.file link.file link.file.destination load_module.file mkdir.file mmap.file open.file process.ancestors.file process.ancestors.interpreter.file process.file process.interpreter.file process.parent.file process.parent.interpreter.file ptrace.tracee.ancestors.file ptrace.tracee.ancestors.interpreter.file ptrace.tracee.file ptrace.tracee.interpreter.file ptrace.tracee.parent.file ptrace.tracee.parent.interpreter.file removexattr.file rename.file rename.file.destination rmdir.file setxattr.file signal.target.ancestors.file signal.target.ancestors.interpreter.file signal.target.file signal.target.interpreter.file signal.target.parent.file signal.target.parent.interpreter.file splice.file unlink.file utimes.file
*.package.source_versionTipo: cadena
Definición: [Experimental] versión completa del paquete fuente del paquete que proporcionó este archivo.
*.package.source_version tiene 39 prefijos posibles:
chdir.file chmod.file chown.file exec.file exec.interpreter.file exit.file exit.interpreter.file link.file link.file.destination load_module.file mkdir.file mmap.file open.file process.ancestors.file process.ancestors.interpreter.file process.file process.interpreter.file process.parent.file process.parent.interpreter.file ptrace.tracee.ancestors.file ptrace.tracee.ancestors.interpreter.file ptrace.tracee.file ptrace.tracee.interpreter.file ptrace.tracee.parent.file ptrace.tracee.parent.interpreter.file removexattr.file rename.file rename.file.destination rmdir.file setxattr.file signal.target.ancestors.file signal.target.ancestors.interpreter.file signal.target.file signal.target.interpreter.file signal.target.parent.file signal.target.parent.interpreter.file splice.file unlink.file utimes.file
*.package.versionTipo: cadena
Definición: [Experimental] versión completa del paquete que proporcionó este archivo
*.package.version tiene 39 prefijos posibles:
chdir.file chmod.file chown.file exec.file exec.interpreter.file exit.file exit.interpreter.file link.file link.file.destination load_module.file mkdir.file mmap.file open.file process.ancestors.file process.ancestors.interpreter.file process.file process.interpreter.file process.parent.file process.parent.interpreter.file ptrace.tracee.ancestors.file ptrace.tracee.ancestors.interpreter.file ptrace.tracee.file ptrace.tracee.interpreter.file ptrace.tracee.parent.file ptrace.tracee.parent.interpreter.file removexattr.file rename.file rename.file.destination rmdir.file setxattr.file signal.target.ancestors.file signal.target.ancestors.interpreter.file signal.target.file signal.target.interpreter.file signal.target.parent.file signal.target.parent.interpreter.file splice.file unlink.file utimes.file
*.pathTipo: cadena
Definición: ruta del archivo
*.path tiene 39 prefijos posibles:
chdir.file chmod.file chown.file exec.file exec.interpreter.file exit.file exit.interpreter.file link.file link.file.destination load_module.file mkdir.file mmap.file open.file process.ancestors.file process.ancestors.interpreter.file process.file process.interpreter.file process.parent.file process.parent.interpreter.file ptrace.tracee.ancestors.file ptrace.tracee.ancestors.interpreter.file ptrace.tracee.file ptrace.tracee.interpreter.file ptrace.tracee.parent.file ptrace.tracee.parent.interpreter.file removexattr.file rename.file rename.file.destination rmdir.file setxattr.file signal.target.ancestors.file signal.target.ancestors.interpreter.file signal.target.file signal.target.interpreter.file signal.target.parent.file signal.target.parent.interpreter.file splice.file unlink.file utimes.file
Ejemplo:
Copy
exec . file . path == "/usr/bin/apt" Coincide con la ejecución del archivo ubicado en /usr/bin/apt
Ejemplo:
Copy
open . file . path == "/etc/passwd" Coincide con cualquier proceso que abra el archivo /etc/passwd.
*.pidTipo: entero
Definición: ID de proceso del proceso (también llamado ID de grupo del subproceso)
*.pid tiene 11 prefijos posibles:
exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent
*.portTipo: entero
Definición: número del puerto
*.port tiene 3 prefijos posibles:
bind.addr network.destination network.source
*.ppidTipo: entero
Definición: ID del proceso principal
*.ppid tiene 11 prefijos posibles:
exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent
*.retvalTipo: entero
Definición: valor de retorno de syscall
*.retval tiene 22 prefijos posibles:
bind bpf chdir chmod chown link load_module mkdir mmap mount mprotect open ptrace removexattr rename rmdir setxattr signal splice unlink unload_module utimes
Constantes: constantes de error
*.rightsTipo: entero
Definición: derechos del archivo
*.rights tiene 39 prefijos posibles:
chdir.file chmod.file chown.file exec.file exec.interpreter.file exit.file exit.interpreter.file link.file link.file.destination load_module.file mkdir.file mmap.file open.file process.ancestors.file process.ancestors.interpreter.file process.file process.interpreter.file process.parent.file process.parent.interpreter.file ptrace.tracee.ancestors.file ptrace.tracee.ancestors.interpreter.file ptrace.tracee.file ptrace.tracee.interpreter.file ptrace.tracee.parent.file ptrace.tracee.parent.interpreter.file removexattr.file rename.file rename.file.destination rmdir.file setxattr.file signal.target.ancestors.file signal.target.ancestors.interpreter.file signal.target.file signal.target.interpreter.file signal.target.parent.file signal.target.parent.interpreter.file splice.file unlink.file utimes.file
Constantes: constantes del modo de archivo
*.tidTipo: entero
Definición: ID del subproceso
*.tid tiene 11 prefijos posibles:
exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent
*.tty_nameTipo: cadena
Definición: nombre del TTY asociado al proceso
*.tty_name tiene 11 prefijos posibles:
exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent
*.uidTipo: entero
Definición: UID del proceso
*.uid tiene 11 prefijos posibles:
exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent
*.uidTipo: entero
Definición: UID del propietario del archivo
*.uid tiene 39 prefijos posibles:
chdir.file chmod.file chown.file exec.file exec.interpreter.file exit.file exit.interpreter.file link.file link.file.destination load_module.file mkdir.file mmap.file open.file process.ancestors.file process.ancestors.interpreter.file process.file process.interpreter.file process.parent.file process.parent.interpreter.file ptrace.tracee.ancestors.file ptrace.tracee.ancestors.interpreter.file ptrace.tracee.file ptrace.tracee.interpreter.file ptrace.tracee.parent.file ptrace.tracee.parent.interpreter.file removexattr.file rename.file rename.file.destination rmdir.file setxattr.file signal.target.ancestors.file signal.target.ancestors.interpreter.file signal.target.file signal.target.interpreter.file signal.target.parent.file signal.target.parent.interpreter.file splice.file unlink.file utimes.file
*.userTipo: cadena
Definición: usuario del proceso
*.user tiene 11 prefijos posibles:
exec exit process process.ancestors process.parent ptrace.tracee ptrace.tracee.ancestors ptrace.tracee.parent signal.target signal.target.ancestors signal.target.parent
Ejemplo:
Restringir un evento para que lo active un proceso que se ejecuta como usuario raíz.
*.userTipo: cadena
Definición: usuario del propietario del archivo
*.user tiene 39 prefijos posibles:
chdir.file chmod.file chown.file exec.file exec.interpreter.file exit.file exit.interpreter.file link.file link.file.destination load_module.file mkdir.file mmap.file open.file process.ancestors.file process.ancestors.interpreter.file process.file process.interpreter.file process.parent.file process.parent.interpreter.file ptrace.tracee.ancestors.file ptrace.tracee.ancestors.interpreter.file ptrace.tracee.file ptrace.tracee.interpreter.file ptrace.tracee.parent.file ptrace.tracee.parent.interpreter.file removexattr.file rename.file rename.file.destination rmdir.file setxattr.file signal.target.ancestors.file signal.target.ancestors.interpreter.file signal.target.file signal.target.interpreter.file signal.target.parent.file signal.target.parent.interpreter.file splice.file unlink.file utimes.file
bind.addr.familyTipo: entero
Definición: familia de direcciones
bpf.cmdTipo: entero
Definición: nombre del comando BPF
Constantes: comandos BPF
bpf.map.nameTipo: cadena
Definición: nombre del mapa eBPF (añadido en 7.35)
bpf.map.typeTipo: entero
Definición: tipo del mapa eBPF
Constantes: tipos de mapa BPF
bpf.prog.attach_typeTipo: entero
Definición: tipo de adjunto del programa eBPF
Constantes: tipos de adjunto BPF
bpf.prog.helpersTipo: entero
Definición: scripts auxiliares de eBPF utilizados por el programa eBPF (añadido en 7.35)
Constantes: funciones de scripts auxiliares de BPF
bpf.prog.nameTipo: cadena
Definición: nombre del programa eBPF (añadido en 7.35)
bpf.prog.tagTipo: cadena
Definición: hash (sha1) del programa eBPF (añadido en 7.35)
bpf.prog.typeTipo: entero
Definición: tipo de programa eBPF
Constantes: tipos de programa BPF
capset.cap_effectiveTipo: entero
Definición: conjunto de capacidades efectivas del proceso
Constantes: constantes de capacidad del kernel
capset.cap_permittedTipo: entero
Definición: conjunto de capacidades permitidas del proceso
Constantes: constantes de capacidad del kernel
chdir.syscall.pathTipo: cadena
Definición: argumento path de syscall
chmod.file.destination.modeTipo: entero
Definición: nuevo modo del archivo chmod-ed
Constantes: constantes del modo de archivo
chmod.file.destination.rightsTipo: entero
Definición: nuevos derechos del archivo chmod-ed
Constantes: constantes del modo de archivo
chmod.syscall.modeTipo: entero
Definición: argumento mode de syscall
chmod.syscall.pathTipo: cadena
Definición: argumento path de syscall
chown.file.destination.gidTipo: entero
Definición: nuevo GID del propietario del archivo chown-ed
chown.file.destination.groupTipo: cadena
Definición: nuevo grupo del propietario del archivo chown-ed
chown.file.destination.uidTipo: entero
Definición: nuevo UID del propietario del archivo chown-ed
chown.file.destination.userTipo: cadena
Definición: nuevo usuario del propietario del archivo chown-ed
chown.syscall.gidTipo: entero
Definición: argumento GID de syscall
chown.syscall.pathTipo: cadena
Definición: argumento Path de syscall
chown.syscall.uidTipo: entero
Definición: argumento UID de syscall
container.created_atTipo: entero
Definición: marca de tiempo de la creación del contenedor
container.idTipo: cadena
Definición: ID del contenedor
container.runtimeTipo: cadena
Definición: tiempo de ejecución que gestiona el contenedor
Tipo: cadena
Definición: etiquetas del contenedor
dns.idTipo: entero
Definición: [Experimental] el ID de la solicitud DNS
dns.question.classTipo: entero
Definición: la clase buscada por la pregunta DNS
Constantes: DNS qclasses
dns.question.countTipo: entero
Definición: recuento total de preguntas de la solicitud DNS.
dns.question.lengthTipo: entero
Definición: el tamaño total de la solicitud DNS en bytes
dns.question.nameTipo: cadena
Definición: el nombre de dominio consultado
dns.question.typeTipo: entero
Definición: código de dos octetos que especifica el tipo de pregunta DNS
Constantes: DNS qtypes
event.asyncTipo: booleano
Definición: true si syscall fue asíncrona
event.hostnameTipo: cadena
Definición: nombre de host asociado al evento
event.originTipo: cadena
Definición: origen del evento
event.osTipo: cadena
Definición: sistema operativo del evento
event.serviceTipo: cadena
Definición: servicio asociado al evento
event.timestampTipo: entero
Definición: marca de tiempo del evento
exec.syscall.pathTipo: cadena
Definición: argumento path de syscall
exit.causeTipo: entero
Definición: causa de la finalización del proceso (EXITED, SIGNALED, COREDUMPED)
exit.codeTipo: entero
Definición: código de salida del proceso o número de la señal que provocó la finalización del proceso
imds.aws.is_imds_v2Tipo: booleano
Definición: un booleano que especifica si el evento IMDS sigue las convenciones IMDSv1 o IMDSv2.
imds.aws.security_credentials.typeTipo: cadena
Definición: tipo de credenciales de seguridad
imds.cloud_providerTipo: cadena
Definición: el proveedor de nube previsto del evento IMDS
imds.hostTipo: cadena
Definición: el host del protocolo HTTP
imds.serverTipo: cadena
Definición: el encabezado del servidor de una respuesta
imds.typeTipo: cadena
Definición: tipo de evento IMDS
imds.urlTipo: cadena
Definición: URL del IMDS consultado
imds.user_agentTipo: cadena
Definición: Agent del usuario del cliente HTTP
link.syscall.destination.pathTipo: cadena
Definición: argumento destination path de syscall
link.syscall.pathTipo: cadena
Definición: argumento Path de syscall
load_module.argsTipo: cadena
Definición: parámetros (en forma de cadena) del nuevo módulo del kernel
load_module.args_truncatedTipo: booleano
Definición: indica si los argumentos fueron truncados o no
load_module.argvTipo: cadena
Definición: parámetros (en forma de matriz) del nuevo módulo del kernel
load_module.loaded_from_memoryTipo: booleano
Definición: indica si el módulo del kernel se cargó desde la memoria
load_module.nameTipo: cadena
Definición: nombre del nuevo módulo del kernel
mkdir.file.destination.modeTipo: entero
Definición: modo del nuevo directorio
Constantes: constantes del modo de archivo
mkdir.file.destination.rightsTipo: entero
Definición: derechos del nuevo directorio
Constantes: constantes del modo de archivo
mmap.flagsTipo: entero
Definición: indicadores de segmentos de memoria
Constantes: indicadores MMap
mmap.protectionTipo: entero
Definición: protección de segmentos de memoria
Constantes: constantes de protección
mount.fs_typeTipo: cadena
Definición: tipo del sistema de archivo montado
mount.mountpoint.pathTipo: cadena
Definición: ruta del punto de montaje
mount.root.pathTipo: cadena
Definición: ruta raíz del montaje
mount.source.pathTipo: cadena
Definición: ruta de origen de un montaje bind
mount.syscall.fs_typeTipo: cadena
Definición: argumento File system type de syscall
mount.syscall.mountpoint.pathTipo: cadena
Definición: argumento Mount point path de syscall
mount.syscall.source.pathTipo: cadena
Definición: argumento Source path de syscall
mprotect.req_protectionTipo: entero
Definición: nueva protección de segmentos de memoria
Constantes: indicadores de memoria virtual
mprotect.vm_protectionTipo: entero
Definición: protección inicial de segmentos de memoria
Constantes: indicadores de memoria virtual
network.device.ifindexTipo: entero
Definición: interfaz ifindex
network.device.ifnameTipo: cadena
Definición: interfaz ifname
network.l3_protocolTipo: entero
Definición: protocolo L3 del paquete de red
Constantes: protocolos L3
network.l4_protocolTipo: entero
Definición: protocolo L4 del paquete de red
Constantes: protocolos L4
network.sizeTipo: entero
Definición: tamaño en bytes del paquete de red
open.file.destination.modeTipo: entero
Definición: modo del archivo creado
Constantes: constantes del modo de archivo
open.flagsTipo: entero
Definición: indicadores utilizados al abrir el archivo
Constantes: indicadores de apertura
open.syscall.flagsTipo: entero
Definición: argumento Flags de syscall
open.syscall.modeTipo: entero
Definición: argumento Mode de syscall
open.syscall.pathTipo: cadena
Definición: argumento Path de syscall
ptrace.requestTipo: entero
Definición: solicitud ptrace
Constantes: constantes Ptrace
rename.syscall.destination.pathTipo: cadena
Definición: argumento Destination path de syscall
rename.syscall.pathTipo: cadena
Definición: argumento Path de syscall
selinux.bool.nameTipo: cadena
Definición: nombre booleano de SELinux
selinux.bool.stateTipo: cadena
Definición: nuevo valor booleano de SELinux
selinux.bool_commit.stateTipo: booleano
Definición: indicador de una operación booleana de confirmación de SELinux
selinux.enforce.statusTipo: cadena
Definición: estado de aplicación de SELinux (“enforcing”, “permissive”, “disabled”)
setgid.egidTipo: entero
Definición: nuevo GID efectivo del proceso
setgid.egroupTipo: cadena
Definición: nuevo grupo efectivo del proceso
setgid.fsgidTipo: entero
Definición: nuevo GID de FileSystem del proceso
setgid.fsgroupTipo: cadena
Definición: nuevo grupo de FileSystem del proceso
setgid.gidTipo: entero
Definición: nuevo GID del proceso
setgid.groupTipo: cadena
Definición: nuevo grupo del proceso
setuid.euidTipo: entero
Definición: nuevo UID efectivo del proceso
setuid.euserTipo: cadena
Definición: nuevo usuario efectivo del proceso
setuid.fsuidTipo: entero
Definición: nuevo UID de FileSystem del proceso
setuid.fsuserTipo: cadena
Definición: nuevo usuario de FileSystem del proceso
setuid.uidTipo: entero
Definición: nuevo UID del proceso
setuid.userTipo: cadena
Definición: nuevo usuario del proceso
signal.pidTipo: entero
Definición: PID objetivo
signal.typeTipo: entero
Definición: tipo de señal (ejemplo: SIGHUP, SIGINT, SIGQUIT, etc)
Constantes: constantes de señal
splice.pipe_entry_flagTipo: entero
Definición: indicador de entrada del pipe “fd_out” pasado a la syscall splice
Constantes: indicadores de búfer del pipe
splice.pipe_exit_flagTipo: entero
Definición: indicador de salida del pipe “fd_out” pasado a la syscall splice
Constantes: indicadores de búfer del pipe
unlink.flagsTipo: entero
Definición: indicadores de la syscall unlink
Constantes: indicadores unlink
unlink.syscall.dirfdTipo: entero
Definición: argumento Directory file descriptor de syscall
unlink.syscall.flagsTipo: entero
Definición: argumento Flags de syscall
unlink.syscall.pathTipo: cadena
Definición: argumento Path de syscall
unload_module.nameTipo: cadena
Definición: nombre del módulo del kernel que se ha eliminado
utimes.syscall.pathTipo: cadena
Definición: argumento Path de syscall
Constantes Las constantes se utilizan para mejorar la legibilidad de las reglas. Algunas constantes son comunes a todas las arquitecturas, otras son específicas de algunas arquitecturas.
BPF attach typesLos tipos de adjuntos BPF son los tipos de adjuntos del programa eBPF admitidos.
Nombre Arquitecturas BPF_CGROUP_INET_INGRESStodos BPF_CGROUP_INET_EGRESStodos BPF_CGROUP_INET_SOCK_CREATEtodos BPF_CGROUP_SOCK_OPStodos BPF_SK_SKB_STREAM_PARSERtodos BPF_SK_SKB_STREAM_VERDICTtodos BPF_CGROUP_DEVICEtodos BPF_SK_MSG_VERDICTtodos BPF_CGROUP_INET4_BINDtodos BPF_CGROUP_INET6_BINDtodos BPF_CGROUP_INET4_CONNECTtodos BPF_CGROUP_INET6_CONNECTtodos BPF_CGROUP_INET4_POST_BINDtodos BPF_CGROUP_INET6_POST_BINDtodos BPF_CGROUP_UDP4_SENDMSGtodos BPF_CGROUP_UDP6_SENDMSGtodos BPF_LIRC_MODE2todos BPF_FLOW_DISSECTORtodos BPF_CGROUP_SYSCTLtodos BPF_CGROUP_UDP4_RECVMSGtodos BPF_CGROUP_UDP6_RECVMSGtodos BPF_CGROUP_GETSOCKOPTtodos BPF_CGROUP_SETSOCKOPTtodos BPF_TRACE_RAW_TPtodos BPF_TRACE_FENTRYtodos BPF_TRACE_FEXITtodos BPF_MODIFY_RETURNtodos BPF_LSM_MACtodos BPF_TRACE_ITERtodos BPF_CGROUP_INET4_GETPEERNAMEtodos BPF_CGROUP_INET6_GETPEERNAMEtodos BPF_CGROUP_INET4_GETSOCKNAMEtodos BPF_CGROUP_INET6_GETSOCKNAMEtodos BPF_XDP_DEVMAPtodos BPF_CGROUP_INET_SOCK_RELEASEtodos BPF_XDP_CPUMAPtodos BPF_SK_LOOKUPtodos BPF_XDPtodos BPF_SK_SKB_VERDICTtodos
BPF commandsLos comandos BPF se utilizan para especificar un comando a una syscall bpf.
Nombre Arquitecturas BPF_MAP_CREATEtodos BPF_MAP_LOOKUP_ELEMtodos BPF_MAP_UPDATE_ELEMtodos BPF_MAP_DELETE_ELEMtodos BPF_MAP_GET_NEXT_KEYtodos BPF_PROG_LOADtodos BPF_OBJ_PINtodos BPF_OBJ_GETtodos BPF_PROG_ATTACHtodos BPF_PROG_DETACHtodos BPF_PROG_TEST_RUNtodos BPF_PROG_RUNtodos BPF_PROG_GET_NEXT_IDtodos BPF_MAP_GET_NEXT_IDtodos BPF_PROG_GET_FD_BY_IDtodos BPF_MAP_GET_FD_BY_IDtodos BPF_OBJ_GET_INFO_BY_FDtodos BPF_PROG_QUERYtodos BPF_RAW_TRACEPOINT_OPENtodos BPF_BTF_LOADtodos BPF_BTF_GET_FD_BY_IDtodos BPF_TASK_FD_QUERYtodos BPF_MAP_LOOKUP_AND_DELETE_ELEMtodos BPF_MAP_FREEZEtodos BPF_BTF_GET_NEXT_IDtodos BPF_MAP_LOOKUP_BATCHtodos BPF_MAP_LOOKUP_AND_DELETE_BATCHtodos BPF_MAP_UPDATE_BATCHtodos BPF_MAP_DELETE_BATCHtodos BPF_LINK_CREATEtodos BPF_LINK_UPDATEtodos BPF_LINK_GET_FD_BY_IDtodos BPF_LINK_GET_NEXT_IDtodos BPF_ENABLE_STATStodos BPF_ITER_CREATEtodos BPF_LINK_DETACHtodos BPF_PROG_BIND_MAPtodos
BPF helper functionsLas funciones de script auxiliar de BPF son las funciones de script auxiliar de BPF compatibles.
Nombre Arquitecturas BPF_UNSPECtodos BPF_MAP_LOOKUP_ELEMtodos BPF_MAP_UPDATE_ELEMtodos BPF_MAP_DELETE_ELEMtodos BPF_PROBE_READtodos BPF_KTIME_GET_NStodos BPF_TRACE_PRINTKtodos BPF_GET_PRANDOM_U32todos BPF_GET_SMP_PROCESSOR_IDtodos BPF_SKB_STORE_BYTEStodos BPF_L3_CSUM_REPLACEtodos BPF_L4_CSUM_REPLACEtodos BPF_TAIL_CALLtodos BPF_CLONE_REDIRECTtodos BPF_GET_CURRENT_PID_TGIDtodos BPF_GET_CURRENT_UID_GIDtodos BPF_GET_CURRENT_COMMtodos BPF_GET_CGROUP_CLASSIDtodos BPF_SKB_VLAN_PUSHtodos BPF_SKB_VLAN_POPtodos BPF_SKB_GET_TUNNEL_KEYtodos BPF_SKB_SET_TUNNEL_KEYtodos BPF_PERF_EVENT_READtodos BPF_REDIRECTtodos BPF_GET_ROUTE_REALMtodos BPF_PERF_EVENT_OUTPUTtodos BPF_SKB_LOAD_BYTEStodos BPF_GET_STACKIDtodos BPF_CSUM_DIFFtodos BPF_SKB_GET_TUNNEL_OPTtodos BPF_SKB_SET_TUNNEL_OPTtodos BPF_SKB_CHANGE_PROTOtodos BPF_SKB_CHANGE_TYPEtodos BPF_SKB_UNDER_CGROUPtodos BPF_GET_HASH_RECALCtodos BPF_GET_CURRENT_TASKtodos BPF_PROBE_WRITE_USERtodos BPF_CURRENT_TASK_UNDER_CGROUPtodos BPF_SKB_CHANGE_TAILtodos BPF_SKB_PULL_DATAtodos BPF_CSUM_UPDATEtodos BPF_SET_HASH_INVALIDtodos BPF_GET_NUMA_NODE_IDtodos BPF_SKB_CHANGE_HEADtodos BPF_XDP_ADJUST_HEADtodos BPF_PROBE_READ_STRtodos BPF_GET_SOCKET_COOKIEtodos BPF_GET_SOCKET_UIDtodos BPF_SET_HASHtodos BPF_SETSOCKOPTtodos BPF_SKB_ADJUST_ROOMtodos BPF_REDIRECT_MAPtodos BPF_SK_REDIRECT_MAPtodos BPF_SOCK_MAP_UPDATEtodos BPF_XDP_ADJUST_METAtodos BPF_PERF_EVENT_READ_VALUEtodos BPF_PERF_PROG_READ_VALUEtodos BPF_GETSOCKOPTtodos BPF_OVERRIDE_RETURNtodos BPF_SOCK_OPS_CB_FLAGS_SETtodos BPF_MSG_REDIRECT_MAPtodos BPF_MSG_APPLY_BYTEStodos BPF_MSG_CORK_BYTEStodos BPF_MSG_PULL_DATAtodos BPF_BINDtodos BPF_XDP_ADJUST_TAILtodos BPF_SKB_GET_XFRM_STATEtodos BPF_GET_STACKtodos BPF_SKB_LOAD_BYTES_RELATIVEtodos BPF_FIB_LOOKUPtodos BPF_SOCK_HASH_UPDATEtodos BPF_MSG_REDIRECT_HASHtodos BPF_SK_REDIRECT_HASHtodos BPF_LWT_PUSH_ENCAPtodos BPF_LWT_SEG6_STORE_BYTEStodos BPF_LWT_SEG6_ADJUST_SRHtodos BPF_LWT_SEG6_ACTIONtodos BPF_RC_REPEATtodos BPF_RC_KEYDOWNtodos BPF_SKB_CGROUP_IDtodos BPF_GET_CURRENT_CGROUP_IDtodos BPF_GET_LOCAL_STORAGEtodos BPF_SK_SELECT_REUSEPORTtodos BPF_SKB_ANCESTOR_CGROUP_IDtodos BPF_SK_LOOKUP_TCPtodos BPF_SK_LOOKUP_UDPtodos BPF_SK_RELEASEtodos BPF_MAP_PUSH_ELEMtodos BPF_MAP_POP_ELEMtodos BPF_MAP_PEEK_ELEMtodos BPF_MSG_PUSH_DATAtodos BPF_MSG_POP_DATAtodos BPF_RC_POINTER_RELtodos BPF_SPIN_LOCKtodos BPF_SPIN_UNLOCKtodos BPF_SK_FULLSOCKtodos BPF_TCP_SOCKtodos BPF_SKB_ECN_SET_CEtodos BPF_GET_LISTENER_SOCKtodos BPF_SKC_LOOKUP_TCPtodos BPF_TCP_CHECK_SYNCOOKIEtodos BPF_SYSCTL_GET_NAMEtodos BPF_SYSCTL_GET_CURRENT_VALUEtodos BPF_SYSCTL_GET_NEW_VALUEtodos BPF_SYSCTL_SET_NEW_VALUEtodos BPF_STRTOLtodos BPF_STRTOULtodos BPF_SK_STORAGE_GETtodos BPF_SK_STORAGE_DELETEtodos BPF_SEND_SIGNALtodos BPF_TCP_GEN_SYNCOOKIEtodos BPF_SKB_OUTPUTtodos BPF_PROBE_READ_USERtodos BPF_PROBE_READ_KERNELtodos BPF_PROBE_READ_USER_STRtodos BPF_PROBE_READ_KERNEL_STRtodos BPF_TCP_SEND_ACKtodos BPF_SEND_SIGNAL_THREADtodos BPF_JIFFIES64todos BPF_READ_BRANCH_RECORDStodos BPF_GET_NS_CURRENT_PID_TGIDtodos BPF_XDP_OUTPUTtodos BPF_GET_NETNS_COOKIEtodos BPF_GET_CURRENT_ANCESTOR_CGROUP_IDtodos BPF_SK_ASSIGNtodos BPF_KTIME_GET_BOOT_NStodos BPF_SEQ_PRINTFtodos BPF_SEQ_WRITEtodos BPF_SK_CGROUP_IDtodos BPF_SK_ANCESTOR_CGROUP_IDtodos BPF_RINGBUF_OUTPUTtodos BPF_RINGBUF_RESERVEtodos BPF_RINGBUF_SUBMITtodos BPF_RINGBUF_DISCARDtodos BPF_RINGBUF_QUERYtodos BPF_CSUM_LEVELtodos BPF_SKC_TO_TCP6_SOCKtodos BPF_SKC_TO_TCP_SOCKtodos BPF_SKC_TO_TCP_TIMEWAIT_SOCKtodos BPF_SKC_TO_TCP_REQUEST_SOCKtodos BPF_SKC_TO_UDP6_SOCKtodos BPF_GET_TASK_STACKtodos BPF_LOAD_HDR_OPTtodos BPF_STORE_HDR_OPTtodos BPF_RESERVE_HDR_OPTtodos BPF_INODE_STORAGE_GETtodos BPF_INODE_STORAGE_DELETEtodos BPF_D_PATHtodos BPF_COPY_FROM_USERtodos BPF_SNPRINTF_BTFtodos BPF_SEQ_PRINTF_BTFtodos BPF_SKB_CGROUP_CLASSIDtodos BPF_REDIRECT_NEIGHtodos BPF_PER_CPU_PTRtodos BPF_THIS_CPU_PTRtodos BPF_REDIRECT_PEERtodos BPF_TASK_STORAGE_GETtodos BPF_TASK_STORAGE_DELETEtodos BPF_GET_CURRENT_TASK_BTFtodos BPF_BPRM_OPTS_SETtodos BPF_KTIME_GET_COARSE_NStodos BPF_IMA_INODE_HASHtodos BPF_SOCK_FROM_FILEtodos BPF_CHECK_MTUtodos BPF_FOR_EACH_MAP_ELEMtodos BPF_SNPRINTFtodos
BPF map typesLos tipos de mapa de BPF son los tipos de mapa de eBPF admitidos.
Nombre Arquitecturas BPF_MAP_TYPE_UNSPECtodos BPF_MAP_TYPE_HASHtodos BPF_MAP_TYPE_ARRAYtodos BPF_MAP_TYPE_PROG_ARRAYtodos BPF_MAP_TYPE_PERF_EVENT_ARRAYtodos BPF_MAP_TYPE_PERCPU_HASHtodos BPF_MAP_TYPE_PERCPU_ARRAYtodos BPF_MAP_TYPE_STACK_TRACEtodos BPF_MAP_TYPE_CGROUP_ARRAYtodos BPF_MAP_TYPE_LRU_HASHtodos BPF_MAP_TYPE_LRU_PERCPU_HASHtodos BPF_MAP_TYPE_LPM_TRIEtodos BPF_MAP_TYPE_ARRAY_OF_MAPStodos BPF_MAP_TYPE_HASH_OF_MAPStodos BPF_MAP_TYPE_DEVMAPtodos BPF_MAP_TYPE_SOCKMAPtodos BPF_MAP_TYPE_CPUMAPtodos BPF_MAP_TYPE_XSKMAPtodos BPF_MAP_TYPE_SOCKHASHtodos BPF_MAP_TYPE_CGROUP_STORAGEtodos BPF_MAP_TYPE_REUSEPORT_SOCKARRAYtodos BPF_MAP_TYPE_PERCPU_CGROUP_STORAGEtodos BPF_MAP_TYPE_QUEUEtodos BPF_MAP_TYPE_STACKtodos BPF_MAP_TYPE_SK_STORAGEtodos BPF_MAP_TYPE_DEVMAP_HASHtodos BPF_MAP_TYPE_STRUCT_OPStodos BPF_MAP_TYPE_RINGBUFtodos BPF_MAP_TYPE_INODE_STORAGEtodos BPF_MAP_TYPE_TASK_STORAGEtodos
BPF program typesLos tipos de programa BPF son los tipos de programa eBPF admitidos.
Nombre Arquitecturas BPF_PROG_TYPE_UNSPECtodos BPF_PROG_TYPE_SOCKET_FILTERtodos BPF_PROG_TYPE_KPROBEtodos BPF_PROG_TYPE_SCHED_CLStodos BPF_PROG_TYPE_SCHED_ACTtodos BPF_PROG_TYPE_TRACEPOINTtodos BPF_PROG_TYPE_XDPtodos BPF_PROG_TYPE_PERF_EVENTtodos BPF_PROG_TYPE_CGROUP_SKBtodos BPF_PROG_TYPE_CGROUP_SOCKtodos BPF_PROG_TYPE_LWT_INtodos BPF_PROG_TYPE_LWT_OUTtodos BPF_PROG_TYPE_LWT_XMITtodos BPF_PROG_TYPE_SOCK_OPStodos BPF_PROG_TYPE_SK_SKBtodos BPF_PROG_TYPE_CGROUP_DEVICEtodos BPF_PROG_TYPE_SK_MSGtodos BPF_PROG_TYPE_RAW_TRACEPOINTtodos BPF_PROG_TYPE_CGROUP_SOCK_ADDRtodos BPF_PROG_TYPE_LWT_SEG6LOCALtodos BPF_PROG_TYPE_LIRC_MODE2todos BPF_PROG_TYPE_SK_REUSEPORTtodos BPF_PROG_TYPE_FLOW_DISSECTORtodos BPF_PROG_TYPE_CGROUP_SYSCTLtodos BPF_PROG_TYPE_RAW_TRACEPOINT_WRITABLEtodos BPF_PROG_TYPE_CGROUP_SOCKOPTtodos BPF_PROG_TYPE_TRACINGtodos BPF_PROG_TYPE_STRUCT_OPStodos BPF_PROG_TYPE_EXTtodos BPF_PROG_TYPE_LSMtodos BPF_PROG_TYPE_SK_LOOKUPtodos
Boolean constantsLas constantes booleanas son las constantes booleanas admitidas.
Nombre Arquitecturas truetodos falsetodos
DNS qclassesDNS qclasses son las clases de consulta DNS admitidas.
Nombre Arquitecturas CLASS_INETtodos CLASS_CSNETtodos CLASS_CHAOStodos CLASS_HESIODtodos CLASS_NONEtodos CLASS_ANYtodos
DNS qtypesDNS qtypes son los tipos de consulta DNS admitidos.
Nombre Arquitecturas Nonetodos Atodos NStodos MDtodos MFtodos CNAMEtodos SOAtodos MBtodos MGtodos MRtodos NULLtodos PTRtodos HINFOtodos MINFOtodos MXtodos TXTtodos RPtodos AFSDBtodos X25todos ISDNtodos RTtodos NSAPPTRtodos SIGtodos KEYtodos PXtodos GPOStodos AAAAtodos LOCtodos NXTtodos EIDtodos NIMLOCtodos SRVtodos ATMAtodos NAPTRtodos KXtodos CERTtodos DNAMEtodos OPTtodos APLtodos DStodos SSHFPtodos RRSIGtodos NSECtodos DNSKEYtodos DHCIDtodos NSEC3todos NSEC3PARAMtodos TLSAtodos SMIMEAtodos HIPtodos NINFOtodos RKEYtodos TALINKtodos CDStodos CDNSKEYtodos OPENPGPKEYtodos CSYNCtodos ZONEMDtodos SVCBtodos HTTPStodos SPFtodos UINFOtodos UIDtodos GIDtodos UNSPECtodos NIDtodos L32todos L64todos LPtodos EUI48todos EUI64todos URItodos CAAtodos AVCtodos TKEYtodos TSIGtodos IXFRtodos AXFRtodos MAILBtodos MAILAtodos ANYtodos TAtodos DLVtodos Reservedtodos
Error constantsLas constantes de error son las constantes de error admitidas.
Nombre Arquitecturas E2BIGtodos EACCEStodos EADDRINUSEtodos EADDRNOTAVAILtodos EADVtodos EAFNOSUPPORTtodos EAGAINtodos EALREADYtodos EBADEtodos EBADFtodos EBADFDtodos EBADMSGtodos EBADRtodos EBADRQCtodos EBADSLTtodos EBFONTtodos EBUSYtodos ECANCELEDtodos ECHILDtodos ECHRNGtodos ECOMMtodos ECONNABORTEDtodos ECONNREFUSEDtodos ECONNRESETtodos EDEADLKtodos EDEADLOCKtodos EDESTADDRREQtodos EDOMtodos EDOTDOTtodos EDQUOTtodos EEXISTtodos EFAULTtodos EFBIGtodos EHOSTDOWNtodos EHOSTUNREACHtodos EIDRMtodos EILSEQtodos EINPROGRESStodos EINTRtodos EINVALtodos EIOtodos EISCONNtodos EISDIRtodos EISNAMtodos EKEYEXPIREDtodos EKEYREJECTEDtodos EKEYREVOKEDtodos EL2HLTtodos EL2NSYNCtodos EL3HLTtodos EL3RSTtodos ELIBACCtodos ELIBBADtodos ELIBEXECtodos ELIBMAXtodos ELIBSCNtodos ELNRNGtodos ELOOPtodos EMEDIUMTYPEtodos EMFILEtodos EMLINKtodos EMSGSIZEtodos EMULTIHOPtodos ENAMETOOLONGtodos ENAVAILtodos ENETDOWNtodos ENETRESETtodos ENETUNREACHtodos ENFILEtodos ENOANOtodos ENOBUFStodos ENOCSItodos ENODATAtodos ENODEVtodos ENOENTtodos ENOEXECtodos ENOKEYtodos ENOLCKtodos ENOLINKtodos ENOMEDIUMtodos ENOMEMtodos ENOMSGtodos ENONETtodos ENOPKGtodos ENOPROTOOPTtodos ENOSPCtodos ENOSRtodos ENOSTRtodos ENOSYStodos ENOTBLKtodos ENOTCONNtodos ENOTDIRtodos ENOTEMPTYtodos ENOTNAMtodos ENOTRECOVERABLEtodos ENOTSOCKtodos ENOTSUPtodos ENOTTYtodos ENOTUNIQtodos ENXIOtodos EOPNOTSUPPtodos EOVERFLOWtodos EOWNERDEADtodos EPERMtodos EPFNOSUPPORTtodos EPIPEtodos EPROTOtodos EPROTONOSUPPORTtodos EPROTOTYPEtodos ERANGEtodos EREMCHGtodos EREMOTEtodos EREMOTEIOtodos ERESTARTtodos ERFKILLtodos EROFStodos ESHUTDOWNtodos ESOCKTNOSUPPORTtodos ESPIPEtodos ESRCHtodos ESRMNTtodos ESTALEtodos ESTRPIPEtodos ETIMEtodos ETIMEDOUTtodos ETOOMANYREFStodos ETXTBSYtodos EUCLEANtodos EUNATCHtodos EUSERStodos EWOULDBLOCKtodos EXDEVtodos EXFULLtodos
File mode constantsLas constantes de modo de archivo son los permisos de archivo admitidos, así como las constantes para los bits set-user-ID, set-group-ID y sticky.
Nombre Arquitecturas S_ISUIDtodos S_ISGIDtodos S_ISVTXtodos S_IRWXUtodos S_IRUSRtodos S_IWUSRtodos S_IXUSRtodos S_IRWXGtodos S_IRGRPtodos S_IWGRPtodos S_IXGRPtodos S_IRWXOtodos S_IROTHtodos S_IWOTHtodos S_IXOTHtodos
Inode mode constantsLas constantes de modo de nodo índice son las constantes de tipo de archivo admitidas, así como las constantes de modo de archivo.
Nombre Arquitecturas S_IFMTtodos S_IFSOCKtodos S_IFLNKtodos S_IFREGtodos S_IFBLKtodos S_IFDIRtodos S_IFCHRtodos S_IFIFOtodos S_ISUIDtodos S_ISGIDtodos S_ISVTXtodos S_IRWXUtodos S_IRUSRtodos S_IWUSRtodos S_IXUSRtodos S_IRWXGtodos S_IRGRPtodos S_IWGRPtodos S_IXGRPtodos S_IRWXOtodos S_IROTHtodos S_IWOTHtodos S_IXOTHtodos
Kernel Capability constantsLas constantes de capacidad del kernel son las capacidades del kernel de Linux admitidas.
Nombre Arquitecturas CAP_AUDIT_CONTROLtodos CAP_AUDIT_READtodos CAP_AUDIT_WRITEtodos CAP_BLOCK_SUSPENDtodos CAP_BPFtodos CAP_CHECKPOINT_RESTOREtodos CAP_CHOWNtodos CAP_DAC_OVERRIDEtodos CAP_DAC_READ_SEARCHtodos CAP_FOWNERtodos CAP_FSETIDtodos CAP_IPC_LOCKtodos CAP_IPC_OWNERtodos CAP_KILLtodos CAP_LEASEtodos CAP_LINUX_IMMUTABLEtodos CAP_MAC_ADMINtodos CAP_MAC_OVERRIDEtodos CAP_MKNODtodos CAP_NET_ADMINtodos CAP_NET_BIND_SERVICEtodos CAP_NET_BROADCASTtodos CAP_NET_RAWtodos CAP_PERFMONtodos CAP_SETFCAPtodos CAP_SETGIDtodos CAP_SETPCAPtodos CAP_SETUIDtodos CAP_SYSLOGtodos CAP_SYS_ADMINtodos CAP_SYS_BOOTtodos CAP_SYS_CHROOTtodos CAP_SYS_MODULEtodos CAP_SYS_NICEtodos CAP_SYS_PACCTtodos CAP_SYS_PTRACEtodos CAP_SYS_RAWIOtodos CAP_SYS_RESOURCEtodos CAP_SYS_TIMEtodos CAP_SYS_TTY_CONFIGtodos CAP_WAKE_ALARMtodos
L3 protocolsLos protocolos L3 son los protocolos de capa 3 admitidos.
Nombre Arquitecturas ETH_P_LOOPtodos ETH_P_PUPtodos ETH_P_PUPATtodos ETH_P_TSNtodos ETH_P_IPtodos ETH_P_X25todos ETH_P_ARPtodos ETH_P_BPQtodos ETH_P_IEEEPUPtodos ETH_P_IEEEPUPATtodos ETH_P_BATMANtodos ETH_P_DECtodos ETH_P_DNADLtodos ETH_P_DNARCtodos ETH_P_DNARTtodos ETH_P_LATtodos ETH_P_DIAGtodos ETH_P_CUSTtodos ETH_P_SCAtodos ETH_P_TEBtodos ETH_P_RARPtodos ETH_P_ATALKtodos ETH_P_AARPtodos ETH_P_8021_Qtodos ETH_P_ERSPANtodos ETH_P_IPXtodos ETH_P_IPV6todos ETH_P_PAUSEtodos ETH_P_SLOWtodos ETH_P_WCCPtodos ETH_P_MPLSUCtodos ETH_P_MPLSMCtodos ETH_P_ATMMPOAtodos ETH_P_PPPDISCtodos ETH_P_PPPSEStodos ETH_P__LINK_CTLtodos ETH_P_ATMFATEtodos ETH_P_PAEtodos ETH_P_AOEtodos ETH_P_8021_ADtodos ETH_P_802_EX1todos ETH_P_TIPCtodos ETH_P_MACSECtodos ETH_P_8021_AHtodos ETH_P_MVRPtodos ETH_P_1588todos ETH_P_NCSItodos ETH_P_PRPtodos ETH_P_FCOEtodos ETH_P_IBOEtodos ETH_P_TDLStodos ETH_P_FIPtodos ETH_P_80221todos ETH_P_HSRtodos ETH_P_NSHtodos ETH_P_LOOPBACKtodos ETH_P_QINQ1todos ETH_P_QINQ2todos ETH_P_QINQ3todos ETH_P_EDSAtodos ETH_P_IFEtodos ETH_P_AFIUCVtodos ETH_P_8023_MINtodos ETH_P_IPV6_HOP_BY_HOPtodos ETH_P_8023todos ETH_P_AX25todos ETH_P_ALLtodos ETH_P_8022todos ETH_P_SNAPtodos ETH_P_DDCMPtodos ETH_P_WANPPPtodos ETH_P_PPPMPtodos ETH_P_LOCALTALKtodos ETH_P_CANtodos ETH_P_CANFDtodos ETH_P_PPPTALKtodos ETH_P_TR8022todos ETH_P_MOBITEXtodos ETH_P_CONTROLtodos ETH_P_IRDAtodos ETH_P_ECONETtodos ETH_P_HDLCtodos ETH_P_ARCNETtodos ETH_P_DSAtodos ETH_P_TRAILERtodos ETH_P_PHONETtodos ETH_P_IEEE802154todos ETH_P_CAIFtodos ETH_P_XDSAtodos ETH_P_MAPtodos
L4 protocolsLos protocolos L4 son los protocolos de capa 4 admitidos.
Nombre Arquitecturas IP_PROTO_IPtodos IP_PROTO_ICMPtodos IP_PROTO_IGMPtodos IP_PROTO_IPIPtodos IP_PROTO_TCPtodos IP_PROTO_EGPtodos IP_PROTO_IGPtodos IP_PROTO_PUPtodos IP_PROTO_UDPtodos IP_PROTO_IDPtodos IP_PROTO_TPtodos IP_PROTO_DCCPtodos IP_PROTO_IPV6todos IP_PROTO_RSVPtodos IP_PROTO_GREtodos IP_PROTO_ESPtodos IP_PROTO_AHtodos IP_PROTO_ICMPV6todos IP_PROTO_MTPtodos IP_PROTO_BEETPHtodos IP_PROTO_ENCAPtodos IP_PROTO_PIMtodos IP_PROTO_COMPtodos IP_PROTO_SCTPtodos IP_PROTO_UDPLITEtodos IP_PROTO_MPLStodos IP_PROTO_RAWtodos
MMap flagsLos indicadores MMap son los indicadores admitidos para la syscall mmap.
Nombre Arquitecturas MAP_SHAREDtodos MAP_PRIVATEtodos MAP_SHARED_VALIDATEtodos MAP_ANONtodos MAP_ANONYMOUStodos MAP_DENYWRITEtodos MAP_EXECUTABLEtodos MAP_FIXEDtodos MAP_FIXED_NOREPLACEtodos MAP_GROWSDOWNtodos MAP_HUGETLBtodos MAP_LOCKEDtodos MAP_NONBLOCKtodos MAP_NORESERVEtodos MAP_POPULATEtodos MAP_STACKtodos MAP_SYNCtodos MAP_UNINITIALIZEDtodos MAP_HUGE_16KBtodos MAP_HUGE_64KBtodos MAP_HUGE_512KBtodos MAP_HUGE_1MBtodos MAP_HUGE_2MBtodos MAP_HUGE_8MBtodos MAP_HUGE_16MBtodos MAP_HUGE_32MBtodos MAP_HUGE_256MBtodos MAP_HUGE_512MBtodos MAP_HUGE_1GBtodos MAP_HUGE_2GBtodos MAP_HUGE_16GBtodos MAP_32BITamd64
Network Address Family constantsLas constantes de familia de direcciones de red son las familias de direcciones red admitidas.
Nombre Arquitecturas AF_UNSPECtodos AF_LOCALtodos AF_UNIXtodos AF_FILEtodos AF_INETtodos AF_AX25todos AF_IPXtodos AF_APPLETALKtodos AF_NETROMtodos AF_BRIDGEtodos AF_ATMPVCtodos AF_X25todos AF_INET6todos AF_ROSEtodos AF_DECnettodos AF_NETBEUItodos AF_SECURITYtodos AF_KEYtodos AF_NETLINKtodos AF_ROUTEtodos AF_PACKETtodos AF_ASHtodos AF_ECONETtodos AF_ATMSVCtodos AF_RDStodos AF_SNAtodos AF_IRDAtodos AF_PPPOXtodos AF_WANPIPEtodos AF_LLCtodos AF_IBtodos AF_MPLStodos AF_CANtodos AF_TIPCtodos AF_BLUETOOTHtodos AF_IUCVtodos AF_RXRPCtodos AF_ISDNtodos AF_PHONETtodos AF_IEEE802154todos AF_CAIFtodos AF_ALGtodos AF_NFCtodos AF_VSOCKtodos AF_KCMtodos AF_QIPCRTRtodos AF_SMCtodos AF_XDPtodos AF_MAXtodos
Open flagsLos indicadores de apertura son los indicadores admitidos para syscall open.
Nombre Arquitecturas O_RDONLYtodos O_WRONLYtodos O_RDWRtodos O_APPENDtodos O_CREATtodos O_EXCLtodos O_SYNCtodos O_TRUNCtodos O_ACCMODEtodos O_ASYNCtodos O_CLOEXECtodos O_DIRECTtodos O_DIRECTORYtodos O_DSYNCtodos O_FSYNCtodos O_NDELAYtodos O_NOATIMEtodos O_NOCTTYtodos O_NOFOLLOWtodos O_NONBLOCKtodos O_RSYNCtodos
Pipe buffer flagsLos indicadores de búfer del pipe son los indicadores admitidos para un búfer del pipe.
Nombre Arquitecturas PIPE_BUF_FLAG_LRUtodos PIPE_BUF_FLAG_ATOMICtodos PIPE_BUF_FLAG_GIFTtodos PIPE_BUF_FLAG_PACKETtodos PIPE_BUF_FLAG_CAN_MERGEtodos PIPE_BUF_FLAG_WHOLEtodos PIPE_BUF_FLAG_LOSStodos
Protection constantsLas constantes de protección son las protecciones admitidas para la syscall mmap.
Nombre Arquitecturas PROT_NONEtodos PROT_READtodos PROT_WRITEtodos PROT_EXECtodos PROT_GROWSDOWNtodos PROT_GROWSUPtodos
Ptrace constantsLas constantes ptrace son los comandos ptrace admitidos para la syscall ptrace.
Nombre Arquitecturas PTRACE_TRACEMEtodos PTRACE_PEEKTEXTtodos PTRACE_PEEKDATAtodos PTRACE_PEEKUSRtodos PTRACE_POKETEXTtodos PTRACE_POKEDATAtodos PTRACE_POKEUSRtodos PTRACE_CONTtodos PTRACE_KILLtodos PTRACE_SINGLESTEPtodos PTRACE_ATTACHtodos PTRACE_DETACHtodos PTRACE_SYSCALLtodos PTRACE_SETOPTIONStodos PTRACE_GETEVENTMSGtodos PTRACE_GETSIGINFOtodos PTRACE_SETSIGINFOtodos PTRACE_GETREGSETtodos PTRACE_SETREGSETtodos PTRACE_SEIZEtodos PTRACE_INTERRUPTtodos PTRACE_LISTENtodos PTRACE_PEEKSIGINFOtodos PTRACE_GETSIGMASKtodos PTRACE_SETSIGMASKtodos PTRACE_SECCOMP_GET_FILTERtodos PTRACE_SECCOMP_GET_METADATAtodos PTRACE_GET_SYSCALL_INFOtodos PTRACE_GETFPREGSamd64, arm PTRACE_SETFPREGSamd64, arm PTRACE_GETFPXREGSamd64 PTRACE_SETFPXREGSamd64 PTRACE_OLDSETOPTIONSamd64, arm PTRACE_GET_THREAD_AREAamd64, arm PTRACE_SET_THREAD_AREAamd64 PTRACE_ARCH_PRCTLamd64 PTRACE_SYSEMUamd64, arm64 PTRACE_SYSEMU_SINGLESTEPamd64, arm64 PTRACE_SINGLEBLOCKamd64 PTRACE_GETCRUNCHREGSarm PTRACE_GETFDPICarm PTRACE_GETFDPIC_EXECarm PTRACE_GETFDPIC_INTERParm PTRACE_GETHBPREGSarm PTRACE_GETVFPREGSarm PTRACE_GETWMMXREGSarm PTRACE_SETCRUNCHREGSarm PTRACE_SETHBPREGSarm PTRACE_SETVFPREGSarm PTRACE_SETWMMXREGSarm PTRACE_SET_SYSCALLarm PTRACE_PEEKMTETAGSarm64 PTRACE_POKEMTETAGSarm64
Signal constantsLas constantes de señal son las señales admitidas para la syscall kill.
Nombre Arquitecturas SIGHUPtodos SIGINTtodos SIGQUITtodos SIGILLtodos SIGTRAPtodos SIGABRTtodos SIGIOTtodos SIGBUStodos SIGFPEtodos SIGKILLtodos SIGUSR1todos SIGSEGVtodos SIGUSR2todos SIGPIPEtodos SIGALRMtodos SIGTERMtodos SIGSTKFLTtodos SIGCHLDtodos SIGCONTtodos SIGSTOPtodos SIGTSTPtodos SIGTTINtodos SIGTTOUtodos SIGURGtodos SIGXCPUtodos SIGXFSZtodos SIGVTALRMtodos SIGPROFtodos SIGWINCHtodos SIGIOtodos SIGPOLLtodos SIGPWRtodos SIGSYStodos
Unlink flagsLos indicadores unlink son los indicadores admitidos para la syscall unlink.
Nombre Arquitecturas AT_REMOVEDIRtodos
Virtual Memory flagsLos indicadores de memoria virtual definen la protección de un segmento de memoria virtual.
Nombre Arquitecturas VM_NONEtodos VM_READtodos VM_WRITEtodos VM_EXECtodos VM_SHAREDtodos VM_MAYREADtodos VM_MAYWRITEtodos VM_MAYEXECtodos VM_MAYSHAREtodos VM_GROWSDOWNtodos VM_UFFD_MISSINGtodos VM_PFNMAPtodos VM_UFFD_WPtodos VM_LOCKEDtodos VM_IOtodos VM_SEQ_READtodos VM_RAND_READtodos VM_DONTCOPYtodos VM_DONTEXPANDtodos VM_LOCKONFAULTtodos VM_ACCOUNTtodos VM_NORESERVEtodos VM_HUGETLBtodos VM_SYNCtodos VM_ARCH_1todos VM_WIPEONFORKtodos VM_DONTDUMPtodos VM_SOFTDIRTYtodos VM_MIXEDMAPtodos VM_HUGEPAGEtodos VM_NOHUGEPAGEtodos VM_MERGEABLEtodos
Más enlaces, artículos y documentación útiles:
