Включение настраиваемого журнала аудита в RedHat

Я включил службу auditd, используя следующую конфигурацию для отслеживания всех действий пользователя (принадлежащих к ID группы 555) в ОС RedHat:

vim /etc/audit/audit.rules -a always,exit -F gid=555 -F arch=b64 -S execve -a always,exit -F gid=555 -F arch=b32 -S execve vim /etc/audisp/plugins.d/syslog.conf active = yes args = LOG_LOCAL6 vim /etc/rsyslog.conf local6.* @@<IP address> 

Однако для каждой выполненной команды генерируется несколько журналов (обычно 3 журнала), и нет уникального журнала, который включает всю необходимую информацию, то есть:

  • команда
  • имя пользователя
  • Отметка
  • IP-адрес сервера
  • Источник IP

Возможно ли настроить auditd для записи / пересылки только одного журнала для каждой выполненной команды? Например, если пользователь foobar запускает rm -f /root/test.txt , записанный / пересылаемый журнал должен выглядеть примерно так:

 2017-05-10 10:14 <SourceIP> foobar@<DestinationIP> rm -f /root/test.txt 

Спасибо, Франческо

Interesting Posts

Режим монитора wifi только для просмотра широковещательных пакетов

Iptables: защита Linux-системы путем ограничения всего трафика на один статический IP-адрес и loopback с использованием Iptables

Как сгенерировать текстовые файлы, начиная с родительского текстового файла

Подведение общих строк в разных файлах

Есть ли решение для сканирования файлов веб-серверов для вредоносного кода?

Существуют ли консервированные решения для запуска sshd в initrd?

Как показать текущее значение переменной среды?

синтаксическая ошибка рядом с неожиданным токеном `then '

При использовании zsh вызывает расширение истории

Избегайте сценария bash, ожидающего пользователя, введите ключ Enter

Используйте те же цвета в вкладке bash complete и ls

Bash tcp redirection end of transmission

Какие политики SELinux применяются к haproxy?

Zsh, нечувствительное между `_` и` -`

Докер говорит, что на устройстве нет места, но у системы много места?

Linux и Unix - лучшая ОС в мире.