我配置了 auditd 通过 rsyslog 将日志发送到 SIEM。但是当我获取这些日志时,proctitle 是十六进制的。
前任。:
<134>Aug 25 17:08:44 vmauditd tag_audit_log: node=vmauditd type=PROCTITLE msg=audit(1692983317.146:7444): proctitle=6E63002D6C766E700032323232
我希望它是这样的:
<134>Aug 25 17:08:44 vmauditd tag_audit_log: node=vmauditd type=PROCTITLE msg=audit(1692983317.146:7444): proctitle=nc -lvnp 2222
我该如何配置审计才能实现这一点?
我在这里读到: https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/security_guide/sec-understanding_audit_log_files那 ...”该字段采用十六进制编码,以不允许用户影响审计日志解析器。“
我在一些地方看到有人将 proctitle 放在 ascii 中,但我不能 100%确定它是否是 的输出ausearch -i。