我正在审计 nfs 共享中的文件。当我使用命令查看审计日志时ausearch -f /var/nfs/general,我得到了一些如下所示的日志:
在服务器端:
time->Tue Jun 12 16:23:34 2018
type=PROCTITLE msg=audit(1528800814.660:2782): proctitle=636174002F7661722F6E66732F67656E6572616C2F6E6673312E747874
type=PATH msg=audit(1528800814.660:2782): item=0 name="/var/nfs/general/nfs1.txt" inode=4063539 dev=08:01 mode=0100664 ouid=1001 ogid=1001 rdev=00:00 nametype=NORMAL
type=CWD msg=audit(1528800814.660:2782): cwd="/home/test"
type=SYSCALL msg=audit(1528800814.660:2782): arch=c000003e syscall=2 success=yes exit=3 a0=7ffc2c53c824 a1=0 a2=20000 a3=69d items=1 ppid=31104 pid=7295 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts18 ses=4294967295 comm="cat" exe="/bin/cat" key=(null)
在客户端:
time->Tue Jun 12 10:22:01 2018
type=UNKNOWN[1327] msg=audit(1528779121.923:84671): proctitle=636174002F6D6E742F6E6673332E747874
type=PATH msg=audit(1528779121.923:84671): item=0 name="/mnt/nfs3.txt" inode=4063534 dev=00:2c mode=0100644 ouid=1001 ogid=0 rdev=00:00 nametype=NORMAL
type=CWD msg=audit(1528779121.923:84671): cwd="/home/salini"
type=SYSCALL msg=audit(1528779121.923:84671): arch=c000003e syscall=2 success=yes exit=3 a0=7ffd7eeef903 a1=0 a2=1fffffffffff0000 a3=7ffd7eeed870 items=1 ppid=5286 pid=5652 auid=1507 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts8 ses=187 comm="cat" exe="/bin/cat" key=(null)
现在我如何获取访问 nfs 共享文件的客户端的 IP 地址和主机名?
还有其他方法可以找到这些详细信息吗?
我想要收集详细信息,例如时间、日期、客户端的 IP 地址、客户端主机名、发生的事件(如读取、写入、重命名、更改文件所有权、删除或在 nfs 文件夹中创建文件)。
收集到的详细信息将放在单独的文件中,以用于其他目的。
我怎样才能做到这一点?
我是 Linux 新手。请帮助我。
谢谢。 :)