Включение настраиваемого журнала аудита в RedHat

Я включил службу auditd, используя следующую конфигурацию для отслеживания всех действий пользователя (принадлежащих к ID группы 555) в ОС RedHat:

vim /etc/audit/audit.rules -a always,exit -F gid=555 -F arch=b64 -S execve -a always,exit -F gid=555 -F arch=b32 -S execve vim /etc/audisp/plugins.d/syslog.conf active = yes args = LOG_LOCAL6 vim /etc/rsyslog.conf local6.* @@<IP address> 

Однако для каждой выполненной команды генерируется несколько журналов (обычно 3 журнала), и нет уникального журнала, который включает всю необходимую информацию, то есть:

  • команда
  • имя пользователя
  • Отметка
  • IP-адрес сервера
  • Источник IP

Возможно ли настроить auditd для записи / пересылки только одного журнала для каждой выполненной команды? Например, если пользователь foobar запускает rm -f /root/test.txt , записанный / пересылаемый журнал должен выглядеть примерно так:

 2017-05-10 10:14 <SourceIP> foobar@<DestinationIP> rm -f /root/test.txt 

Спасибо, Франческо

Interesting Posts

Найти порты FreeBSD, которые зависят от другого порта

Возможно обновление до последнего Bluez с использованием Mint 15 Olivia (Cinnamon)?

QoS с TC qdiscs: возможно ли, чтобы ВСЕ исходящие соединения имели ограничение скорости x на уникальный IP?

Настройте firwall с помощью iptables, чтобы разрешать только VPN

изменение часового пояса в Oracle Solaris 11.2

При удалении пакета через «apt-get remove», почему вы должны (иногда) обновлять другие пакеты в процессе?

Как заставить sudo запомнить мой пароль дольше?

Как установить обозреватель i3wm на centos7

Grid Engine для программы, которая нуждается в X11, но не требует ввода пользователя

Как я могу установить команду `ll` в Mac OS X?

Linux: восстановление файлов из файла .vdi

Оптимизированные процессором пакеты debian с оптимизированным процессором

История-поиск в zsh работает только для команд?

Linux переустанавливает порядок событий для включения ffmpeg

Linux Mint с radeon.modeset = 0

Linux и Unix - лучшая ОС в мире.