如何从脚本发送警报消息到 auditd.log?

如何从脚本发送警报消息到 auditd.log?

由于审计策略(auditd.log 受到监控),我必须从我的临时检查脚本向 auditd.log 发送警报消息。您知道最佳/标准解决方案是什么吗?我认为这echo log >> auditd.log不是一个好主意。

例如,我有这个用于检查有效主目录的检查脚本

awk -F: '$3 >= 1000 {print $1, $6 }' /etc/passwd |
while read -r user directory; do
    if [ ! -d "$directory" ]; then
        echo "Found invalid directories $user"
    fi
done |
# If no output, print default message
grep '^' >&2 || echo "No invalid directories" >&2

据我了解,auditd.log 有一些标准格式:例如

type=SERVICE_START msg=audit(1621698670.030:74): pid=1 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:init_t:s0 msg='unit=kdump comm="systemd" exe="/usr/lib/sys
temd/systemd" hostname=? addr=? terminal=? res=success'UID="root" AUID="unset"

答案1

最简单的方法是使用 logger 命令。类似这样的命令应该可以工作 logger -p user.warn“您想要在日志中包含的任何日志消息”

验证在 /etc/syslog.conf 中为您的审计日志配置了 syslog 通道/优先级。您可能需要添加一个?请记住使用制表符而不是空格。

相关内容