Как настроить SELinux для печати даты и времени в каждой записи в контрольном журнале?
Вы хотите скопировать банан 3 в/usr/share/man/man3/или возможно/usr/local/share/man/man3. Детали, в котором каталоге использовать зависят от Вашей системы сборки и конфигураций Ваших пользователей. Вы могли бы хотеть рассмотреть, Автоделают.
В то время как нет никаких опций, можно установить, чтобы заставить auditd зарегистрироваться с человеческим-parseable форматом даты при использовании команды 'ausearch' для поиска контрольного журнала, существует -i опция, которая производит человекочитаемый (хорошо, возможно, немного более человекочитаемый) вывод.
Например, если я работал ausearch -ts today в моей недавно загруженной системе я вижу:
# ausearch -ts today
----
time->Mon Mar 19 23:07:00 2012
type=DAEMON_START msg=audit(1332212820.421:3834): auditd start, ver=2.1.3 format=raw kernel=3.2.10-3.fc16.x86_64 auid=4294967295 pid=6438 subj=system_u:system_r:auditd_t:s0 res=success
Но если я работаю ausearch -ts today -i, Я вижу:
# ausearch -ts today -i
----
type=DAEMON_START msg=audit(03/19/2012 23:07:00.421:3834) : auditd start, ver=2.1.3 format=raw kernel=3.2.10-3.fc16.x86_64 auid=unset pid=6438 subj=system_u:system_r:auditd_t:s0 res=success
Это работает на Вас? ausearch вероятно, что Вы будете использовать для рассмотрения записей аудита так или иначе. -i также наполняет как uid-> поиски имени пользователя и другие разрешения.Править: Вы видите от вышеупомянутого, что я выполняю Fedora 16, но то же ausearch -i относится к RHEL5.
То длинное количество вначале является меткой времени: это - секунды с эпохи. Несколько моментов назад я добрался:
[0 1128 18:09:57] ~ % date +%s; date
1331917801
Fri Mar 16 18:10:01 CET 2012
Для преобразования числа во что-то более читаемое попробовать
[0 1133 18:12:41] ~ % date -d @1331897657
Fri Mar 16 12:34:17 CET 2012
(Так, по-видимому, Вам будет нужно "обычный sed приемы" для отключения подвторых частей.)
У меня нет машины SE-enabled удобной, но возможно sealert -a также анализирует метки времени во что-то человекочитаемое?
-
1На самом деле,
sealertможет быть очень мощный инструмент, но это теперь, что я точно искал. И немного отклонения здесь:sealertгенерирует вывод, который похож, ему приспособили аудиту Windows Server, разве Вы не думаете? прохладный – malloc4k 22.03.2012, 14:35
Так как это кажется, нет никакой опции изменить формат в который auditd записи это - записи в журнале, я записал следующий сценарий удара, который преобразовывает audit.log.
#!/bin/bash
IFS=$'\n'
lines=(`tail -n 20 /var/log/audit/audit.log`)
for olin in ${lines[*]}; do
datt=`echo $olin | perl -nle '/msg=audit\(([0-9]{10}\.[0-9]{3}):/ && print "$1"'`
date_human_readable=`date -d @$datt +%Y-%m-%d\ %k:%M:%S`
echo ${date_human_readable}" "${olin}
done
Это вставляет дату события перед каждой записью и печатает результат на экране. Дата извлечена из самой записи (msg=audit(...) и преобразованный из UNIX устанавливают метку времени к человекочитаемому формату.
Конечно, можно использовать cat вместо tail.
Исправьте меня, если Вы видите, что любой возможный способ улучшиться / упрощает тот сценарий.
ausearch -i
Из справки:
-i,--interpret Interpret results to be human readable
это неправильный ответ, как написал jsbillings .
Не нужно запускать tail -f!
P.S. Чертовы очки стека! Вот почему я не мог комментировать или голосовать.