Могу ли я быть уверен, что имя поля записи Linux Audit уникально?
Поскольку вы используете Ubuntu, у вас, вероятно, есть GNU awk , который предоставляет полезные функции времени и даты:
echo "2017-03-02" | \
awk '{ gsub(/-/, " ", $1); t = mktime($1 " 0 0 0"); print strftime("%d-%m-%Y", t);}'
Согласно ответу Стива Грабба в официальном списке рассылки ( ссылка на письмо ):
Ответ Стива:
Возможно ли, что в записи есть повторяющиеся поля?
Иногда. Я пытался исправить это, когда это происходит.Проблема в том, что не все запускают свой код аудита с помощью этого списка рассылки, чтобы мы могли проверить его, чтобы убедиться, что он правильно сформирован. Я планирую написать пакет проверки событий аудита, который проверяет, что события правильно сформированы и что ожидаемые события записываются, когда они должны быть и в порядок, к которому они положены. Очистка этих событий занимает одно из первых мест в моем списке TODO.
Что-то вроде (что, очевидно, не имеет особого смысла):
type = CWD msg = audit (1464013682.961: 409): cwd = "/ root" cwd = «/ usr» {{ 1}}Ничего подобного не произойдет, скорее всего, вокруг auid и uid. Причина в том, что ядро добавляет что-то автоматически , потому что это надежный источник информации. Пользовательское пространство может записывать противоречивую информацию . Например, если демон работает от имени пользователя , но его auid не был установлен для пользователя, вы можете увидеть это .
tl; dr
Возможно, но это необычно и не рекомендуется.