変更されたファイルの簡単なストリームを取得するために、それをauditd.logテーリングしてパイプで接続します。ausearchaureport
tail -f /var/log/audit/audit.log | ausearch -k my_key | aureport -f --success -i
複数のレコードを関連付けて結合する操作を実行しているように見えますが、各ファイルの auditd ログの 2 行をaureportマージしないようです。たとえば、誰かが相対パスを指定するコマンドを実行すると(PATH絶対パス)、aureport例のような内容が表示されます。
File Report
===============================================
# date time file syscall success exe auid event
===============================================
1. 13/01/18 21:45:44 myfile open yes /usr/bin/touch user 6229
2. 13/01/18 21:45:46 myfile open yes /usr/bin/touch user 6230
aureportフルパスを表示する方法はありますか?
ベストアンサー1
aureportに配管することなくausearch -k my-key --format text操作を実行できます。ausearch -k delete --format csv開始終了日(--start --end)、uid(--uid 123)、および結果()に基づいて--success yes|noフィルタリングできます。