我需要审核我已安装的 Linux 系统(Ubuntu 16)auditd,我正在获取日志并且已使用ausearch并aureport解析信息。
但问题是我需要将这些日志发送到我们的服务器。我们有 100 个系统,有多个用户名,发送日志user_id会user_name产生很多问题,那么我该如何获取user_name而不是user_id?
以下是一些示例日志详细信息:
type=SYSCALL msg=audit(1554812307.306:589): arch=c000003e syscall=87 success=yes exit=0 a0=55868e8a7000 a1=7fffe83fdc10 a2=1 a3=ffffffff items=2 ppid=2170 pid=2854 auid=4294967295 uid=1001 gid=1001 euid=1001 suid=1001 fsuid=1001 egid=1001 sgid=1001 fsgid=1001 tty=pts20 ses=4294967295 comm="vi" exe="/usr/bin/vim.basic" key="delete"
type=CWD msg=audit(1554812307.306:589): cwd="/home/mayank"
type=PATH msg=audit(1554812307.306:589): item=0 name="/home/mayank" inode=919539 dev=08:03 mode=040755 ouid=1001 ogid=1001 rdev=00:00 nametype=PARENT
type=PATH msg=audit(1554812307.306:589): item=1 name=".potato.txt.swx" inode=919552 dev=08:03 mode=0100600 ouid=1001 ogid=1001 rdev=00:00 nametype=DELETE
答案1
替换/etc/audit/auditd.conf为log_format = RAW,log_format = ENRICHED然后重新启动 auditd。
答案2
我能找到解决这个问题的方法。
Use: ausearch - i
这会将数字实体解释为文本,如果您想将其保存在日志中,您可以重定向输出
ausearch -i > my_log.txt
以上操作会将许多数字数据(如纪元时间)转换为常规数据,因此非常有用。