Как расшифровать журналы аудита

Я проверяю файлы в общей папке NFS. Когда я просматриваю журналы аудита с помощью команды ausearch -f /var/nfs/general , я получаю несколько журналов, которые выглядят так:

 time->Tue Jun 12 16:23:34 2018 type=PROCTITLE msg=audit(1528800814.660:2782): proctitle=636174002F7661722F6E66732F67656E6572616C2F6E6673312E747874 type=PATH msg=audit(1528800814.660:2782): item=0 name="/var/nfs/general/nfs1.txt" inode=4063539 dev=08:01 mode=0100664 ouid=1001 ogid=1001 rdev=00:00 nametype=NORMAL type=CWD msg=audit(1528800814.660:2782): cwd="/home/test" type=SYSCALL msg=audit(1528800814.660:2782): arch=c000003e syscall=2 success=yes exit=3 a0=7ffc2c53c824 a1=0 a2=20000 a3=69d items=1 ppid=31104 pid=7295 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts18 ses=4294967295 comm="cat" exe="/bin/cat" key=(null) 

Теперь, как я могу получить IP-адрес и имя хоста клиента, который получил доступ к файлам общего доступа nfs?

Есть ли другой способ найти эти детали?

Я хочу собрать такие сведения, как время, дата, IP-адрес клиента, имя хоста клиента, произошедшее событие (например, чтение, запись, переименование, изменение владельца файла, удаление или создание файла в папке nfs).

Собранные данные должны быть помещены в отдельный файл, который может быть использован для дальнейших целей.

Как я могу это сделать?

Боюсь, вы не можете сделать это со стандартным NFS-сервером в ядре. Подсистема аудита осуществляет аудит системных вызовов (вызовов из пространства пользователя в kernel), и такие системные вызовы для операций ввода-вывода не выполняются NFS, поскольку сервер NFS работает непосредственно внутри ядра.

Некоторые возможные способы получить журнал операций NFS могут быть:

  • Включите ведение журнала отладки NFS с помощью rpcdebug и обработайте полученные журналы.
  • Отслеживайте интересные операции NFS с ftrace фреймворка ftrace .
  • Переключитесь на пользовательский NFS-сервер, такой как Ganesha. (Я не уверен, что он может регистрировать доступы. Если нет, вам придется реализовать это самостоятельно.)

Если вам интересно, упомянутая вами запись аудита не имеет ничего общего с NFS, это просто кто-то, выполняющий cat /var/nfs/general/nfs1.txt локально.