나는 현재 함께 일하고 있습니다심사. 다음 명령을 사용하여 원격 서버에 로그를 보내도록 구성할 수 있습니다.아우디 SPD.
하지만 대상 컴퓨터에서 또 다른 auditd 인스턴스를 실행하고 싶지는 않습니다. 단지 들어오는 로그를 처리하기 위한 프로그램을 직접 작성하고 싶을 뿐입니다. 그것이 문제이다.
질문
데이터 교환에 사용되는 프로토콜에 대한 설명은 어디서 찾을 수 있나요? 그런 게 있나요?
답변1
나는 당신이 로그 형식, 전송에 대한 더 많은 정보를 찾고 있고 계속해서 자신만의 메시지 멀티플렉서를 작성할 것이라는 것을 알고 있습니다.
매뉴얼 페이지 보기리눅스 감사나에게 첫 번째 힌트를 줬어
체재
유효한 옵션은 바이너리와 문자열입니다. 바이너리로 전달된 데이터는 감사 이벤트 스케줄러가 감사 데몬에서 가져오는 데이터와 정확히 동일합니다. string 옵션은 이벤트를 감사 구문 분석 라이브러리의 구문 분석에 적합한 문자열로 완전히 변경하도록 스케줄러에 지시합니다. 기본값은 문자열입니다.
따라서 바이너리나 문자열(palin 텍스트)을 로그 메시지로 사용하는 것이 가능할 것 같습니다.
추가 연구로 인해메일링 리스트그리고AUDISP_PROTOCOL_VER2,게다가감사 로그 파일 이해.
추가의기본 audispd 플러그인 작성그리고audisp-remote를 사용하여 감사 로그를 보내고 netcat을 사용하여 감사 로그를 받는 방법당신에게도 도움이 될 것입니다.
이것이 귀하의 질문에 완전히 대답하지 못할 수도 있지만 시작하는 데 충분한 입력을 제공해야 한다는 것을 알고 있습니다.