我以前从未遇到过这种情况,所以不知道从哪里开始。我正在系统上安装日志解析器,但由于某种原因,所有审核日志中的字段名称都大写。因此 SYSCALL=0 AUID=0 而不是 syscall=0 auid=0。
这会导致重大问题,因为日志定义是以区分大小写的方式编写的。我可以给字段名称起别名,但是这个系统用大写字母报告这些字段而所有其他系统都使用小写字母,这是否有原因?
Linux 审核日志带有大写字段名称(SYSCALL、AUID) Rhel 7
我以前从未遇到过这种情况,所以不知道从哪里开始。我正在系统上安装日志解析器,但由于某种原因,所有审核日志中的字段名称都大写。因此 SYSCALL=0 AUID=0 而不是 syscall=0 auid=0。
这会导致重大问题,因为日志定义是以区分大小写的方式编写的。我可以给字段名称起别名,但是这个系统用大写字母报告这些字段而所有其他系统都使用小写字母,这是否有原因?