我将其拖尾auditd.log并将其输送到ausearchthenaureport中,目的是获得一个简单的修改文件流:
tail -f /var/log/audit/audit.log | ausearch -k my_key | aureport -f --success -i
虽然aureport似乎可以完成关联和组合多条记录的工作,但它似乎没有合并PATH为每个文件审计日志的 2 行 - 例如,如果有人运行指定相对路径(而不是绝对路径)的命令,aureport则显示就像是:
File Report
===============================================
# date time file syscall success exe auid event
===============================================
1. 13/01/18 21:45:44 myfile open yes /usr/bin/touch user 6229
2. 13/01/18 21:45:46 myfile open yes /usr/bin/touch user 6230
有什么办法可以aureport显示完整路径吗?
您可以执行
ausearch -k my-key --format textorausearch -k delete --format csv,而无需通过管道连接到 aureport。您可以按开始-结束日期 (--start --end)、uid (--uid 123) 和结果 (--success yes|no)进行过滤