Используйте sed
с опцией -z
, которая разделяет строки символами NUL, затем измените соответствие, как в:
sed -z 's/\nand/ and/g' infile
некоторые sed
реализации поддерживают настоящую новую строку, как вы можете сделать:
sed 's/
and/ and/g' infile
Это решение?
/etc/group
и создайте новую группу с именем аудит с уникальным идентификатором /etc/audit/auditd.conf
и измените log_group = root
на log_group = audit
4, перезапустите службу аудита и наблюдайте drwxr-x---. 2 root audit 4096 Sep 30 18:04 /var/log/audit
-rw-r-----. 1 root audit 43040 Sep 30 18:06 /var/log/audit/audit.log
Я понимаю, что это может быть глупо, поскольку скопированным журналом аудита можно просто манипулировать. Я полагаю, может быть, сохранить копию необработанного журнала аудита, принадлежащую root.root, вместе с контрольной суммой SHA? В противном случае, кому лучше знать, если пользователь аудита манипулировал файлом журнала?