我目前正在与审计。可以将其配置为使用以下命令将日志发送到远程服务器奥迪SPD。
但我不想在目标机器上运行另一个auditd实例,我只想编写自己的程序来处理传入的日志。问题就在这里。
问题
在哪里可以找到用于交换数据的协议的描述?有这样的事吗?
答案1
我知道您正在寻找有关日志格式、传输的更多信息,并且您将继续编写自己的消息多路复用器。
查看手册页Linux审计给了我第一个提示
格式
有效选项是二进制和字符串。二进制传递的数据与审计事件调度程序从审计守护程序获取的数据完全相同。字符串选项告诉调度程序将事件完全更改为适合审计解析库解析的字符串。默认值为字符串。
因此,似乎可以使用二进制或字符串(palin 文本)作为日志消息。
进一步的研究将我带到了邮件列表和AUDISP_PROTOCOL_VER2,以及了解审核日志文件。
附加编写一个基本的 audispd 插件和如何使用 audisp-remote 发送审核日志并使用 netcat 接收审核日志也会帮助你。
我知道这可能无法完全回答您的问题,但它应该提供足够的输入来开始。