수정된 파일의 간단한 스트림을 얻기 위해 이를 auditd.log테일링하고 파이프로 연결합니다 .ausearchaureport
tail -f /var/log/audit/audit.log | ausearch -k my_key | aureport -f --success -i
여러 레코드를 연관시키고 결합하는 작업을 수행하는 것처럼 보이지만 각 파일에 대한 auditd 로그의 두 줄을 aureport병합하지 않는 것 같습니다 . 예를 들어 누군가가 상대 경로를 지정하는 명령을 실행하는 경우( PATH절대 경로), aureport예와 같은 내용이 표시됩니다.
File Report
===============================================
# date time file syscall success exe auid event
===============================================
1. 13/01/18 21:45:44 myfile open yes /usr/bin/touch user 6229
2. 13/01/18 21:45:46 myfile open yes /usr/bin/touch user 6230
aureport전체 경로를 표시 하는 방법이 있나요 ?
답변1
aureport에 파이핑하지 않고도 ausearch -k my-key --format text또는 작업을 수행할 수 있습니다 . ausearch -k delete --format csv시작 종료 날짜( --start --end), uid( --uid 123) 및 결과( )를 기준으로 --success yes|no필터링 할 수 있습니다.