저는 실시간으로 로그를 볼 수 있도록 dmesg를 사용하여 터미널을 여는 것을 좋아합니다. 그러나 감사 로그는 꽤 길며 메시지가 커널 링 버퍼로 전송되기 전에 메시지를 필터링할 수 있는 방법이 있는지 궁금합니다(sed/awk를 사용할까요?).
예를 들어,
audit: type=1105 audit(166671842.234:346): pid=8324 uid=1000 auid=1000 ses=1 msg'op=PAM:session_open grantors=pam_systemd_home,pam_limits,pam_unix,pam_permit acct="root" exe="/usr/bin/sudo" hostname => addr=? terminal=/dev/pts/2 res=success
이는 sudo를 실행할 때 매우 일반적이지만 다음과 같이 변경하고 싶습니다.
audit: pid=8324 exe="/usr/bin/sudo" terminal=/dev/pts/2 res=success
온라인에서 찾아보니 메시지를 완전히 억제하는 방법밖에 없었습니다.
감사 소스 코드를 수정하고 다시 컴파일하는 것 외에 이러한 메시지를 필터링할 수 있는 방법이 있습니까? 아니면 사용자 정의 형식의 로그를 볼 수 있는 다른 유틸리티를 제안할 수 있습니까?
답변1
이것이 귀하의 질문에 대한 완전한 답변인지는 확실하지 않지만 올바른 방향으로 안내할 수 있습니다. (
ausearch로그 쿼리 도구 audit daemon)에는 --format선택적 매개변수가 있습니다. 안타깝게도 사용자 정의 형식을 정의할 수 있는 방법은 없지만 사용 가능한 형식 중 하나를 사용하면 출력을 파이프하여 awk원하는 방식으로 다시 형식화할 수 있습니다. 나 자신도 이 --format text선택을 좋아한다.