Estou seguindo auditd.loge canalizando para ausearche, em seguida aureport, com o objetivo de obter um fluxo simples de arquivos modificados:
tail -f /var/log/audit/audit.log | ausearch -k my_key | aureport -f --success -i
Embora aureportpareça fazer o trabalho de correlacionar e combinar vários registros, não parece mesclar as 2 PATHlinhas que auditd logs para cada arquivo - por exemplo, se alguém executa comandos que especificam caminhos relativos (em vez de absolutos), aureportestá mostrando algo como:
File Report
===============================================
# date time file syscall success exe auid event
===============================================
1. 13/01/18 21:45:44 myfile open yes /usr/bin/touch user 6229
2. 13/01/18 21:45:46 myfile open yes /usr/bin/touch user 6230
Existe alguma maneira aureportde mostrar o caminho completo?
Você pode fazer
ausearch -k my-key --format textouausearch -k delete --format csv, sem canalizar para aureport. Você pode filtrar por datas de início e fim (--start --end), uid (--uid 123) e resultado (--success yes|no)