我有一些带有格式日期戳的审核日志
1532400673.760:2358773
.和 后面的数字:代表什么?
使用网站纪元转换器1532400673转换为GMT: Tuesday, July 24, 2018 2:51:13 AM
如果我这样做date -d @1532400673我会得到Mon Jul 23 22:51:13 EDT 2018
但试图做的date -d @1532400673.760:2358773是无效的格式。
答案1
如果我们深入研究源代码,
% rpm -qi audit | grep http
Packager : CentOS BuildSystem <http://bugs.centos.org>
URL : http://people.redhat.com/sgrubb/audit/
...
% git clone https://github.com/linux-audit/audit-userspace.git
% cd audit-userspace/
然后猜测纪元是一个%d标志,printf后跟一个冒号(它也可能是一个%ld或%u或,%lu取决于是否因某种原因涉及long或):unsigned
% grep -ri '%d:' . | tail -1
./auparse/test/auparse_test.py: print(" event time: %d.%d:%d, host=%s" % (event.sec, event.milli, event.serial, none_to_null(event.host)))
我们找到一些测试代码,指示字段是秒、毫秒和某种事件序列号。通过额外的挖掘,这些值似乎被分组在一起,因为它们都属于特定的内存结构。希望文档能提供有关该序列号的更多信息......