【发布时间】:2020-05-13 00:36:50
【问题描述】:
我编写了一个解析器来通过调度程序插件解析审计事件。对于 CentOS 8 或 RHEL 8,我的解析器无法解析审计事件,因为这些事件以不同的格式出现。它在事件的末尾附加了一些额外的参数。
【问题讨论】:
标签: audit audit-logging centos8
【发布时间】:2020-05-13 00:36:50
【问题描述】:
发现问题,问题出在 audit.conf 条目上,对于 centos8 或 rhel8,引入了一个新配置 log_format = ENRICHED。将 ENRICHED 设置为 RAW 将像以前一样提供事件,或者在需要使用 ENRICHED 时更新解析器。
audit.conf 的手册页说 -
ENRICHED 选项将解析所有 uid, gid、系统调用、架构和套接字地址信息 在将事件写入磁盘之前。这有助于理解 在一个系统上创建但在另一个系统上报告/分析的事件 系统。
【讨论】: