我将auditd.log其拖尾并通过管道传输到ausearchthen aureport,目的是获得一个简单的修改文件流:
tail -f /var/log/audit/audit.log | ausearch -k my_key | aureport -f --success -i
虽然aureport似乎完成了关联和组合多个记录的工作,但它似乎并没有合并PATH每个文件的auditd日志的两行 - 例如,如果有人运行指定相对路径(而不是绝对路径)的命令,aureport则显示就像是:
File Report
===============================================
# date time file syscall success exe auid event
===============================================
1. 13/01/18 21:45:44 myfile open yes /usr/bin/touch user 6229
2. 13/01/18 21:45:46 myfile open yes /usr/bin/touch user 6230
有什么办法可以aureport显示完整路径吗?
答案1
您可以执行ausearch -k my-key --format textor操作ausearch -k delete --format csv,无需通过管道连接到 aureport。您可以按开始结束日期 ( --start --end)、uid ( --uid 123) 和结果 ( --success yes|no)进行过滤