我喜欢使用 dmesg 打开终端,这样我就可以实时查看日志。然而,审计日志相当长,我想知道是否有一种方法可以在消息发送到内核环形缓冲区之前过滤消息(也许使用 sed/awk?)?
例如,
audit: type=1105 audit(166671842.234:346): pid=8324 uid=1000 auid=1000 ses=1 msg'op=PAM:session_open grantors=pam_systemd_home,pam_limits,pam_unix,pam_permit acct="root" exe="/usr/bin/sudo" hostname => addr=? terminal=/dev/pts/2 res=success
当我运行 sudo 时,这是很常见的,但我想将其更改为如下所示:
audit: pid=8324 exe="/usr/bin/sudo" terminal=/dev/pts/2 res=success
我在网上查了一下,发现的只是完全压制这些消息的方法。
有什么方法可以过滤这些消息(除了修改审计源代码并重新编译之外)?或者有人可以建议另一个实用程序,我可以在其中查看自定义格式的日志?
答案1
我不确定这个完整的答案是您的问题,但它可能会让您走向正确的方向:(
ausearch用于查询日志的工具audit daemon)有一个--format可选参数。不幸的是,无法定义自定义格式,但也许其中一种可用格式允许您将输出通过管道传输awk以按照您喜欢的方式重新格式化。我自己喜欢这个--format text选择。