私は現在一緒に働いています審査。次のコマンドを使用して、リモートサーバーにログを送信するように構成できます。アウディSPD。
しかし、ターゲットコンピュータで別のauditdインスタンスを実行したくありません。着信ログを処理するためのプログラムを直接作成したいだけです。それが問題だ。
質問
データ交換に使用されるプロトコルの説明はどこにありますか?そんなことありますか?
ベストアンサー1
私はあなたがログフォーマット、転送に関するより多くの情報を探していて、あなた自身のメッセージマルチプレクサを書き続けることを知っています。
マニュアルページを見るLinux 監査私に最初のヒントを与えた
滞在
有効なオプションはバイナリと文字列です。バイナリに渡されるデータは、監査イベントスケジューラが監査デーモンから取得したデータとまったく同じです。 stringオプションは、イベントを監査解析ライブラリの解析に適した文字列に完全に変更するようにスケジューラに指示します。デフォルトは文字列です。
したがって、バイナリや文字列(パリンテキスト)をログメッセージとして使用することが可能になりそうです。
さらなる研究によりメーリングリストそしてAUDISP_PROTOCOL_VER2、しかも監査ログファイルについて。
追加デフォルトのaudispdプラグインの作成そしてaudisp-remoteを使用して監査ログを送信し、netcatを使用して監査ログを受信する方法あなたにも役立ちます。
これはあなたの質問に完全に答えることができないかもしれませんが、始めるのに十分な入力を提供する必要があることを知っています。