Вы можете сделать следующее, используяawk
:
awk '$1 ~ /[0-9]\.[0-9]+/{ip=$1; val=0; next } /^[0-9]+$/{port=$1; if(!(val++)); print ip":"port}' infile
Использование RHEL и SplunkForwarder в моей среде. auditd
настраивается в соответствии с Определение правил аудита или Введение набора правил аудита .
Чтобы определить правило просмотра файловой системы(-w
)
auditctl -w <filePath> -p permissions -k <keyName>
с зарегистрированными разрешениями
т. е. -p wa
.
Мониторинг всего в /proc
может быть излишним.