Включение настраиваемого журнала аудита в RedHat

Я включил службу auditd, используя следующую конфигурацию для отслеживания всех действий пользователя (принадлежащих к ID группы 555) в ОС RedHat:

vim /etc/audit/audit.rules -a always,exit -F gid=555 -F arch=b64 -S execve -a always,exit -F gid=555 -F arch=b32 -S execve vim /etc/audisp/plugins.d/syslog.conf active = yes args = LOG_LOCAL6 vim /etc/rsyslog.conf local6.* @@<IP address> 

Однако для каждой выполненной команды генерируется несколько журналов (обычно 3 журнала), и нет уникального журнала, который включает всю необходимую информацию, то есть:

  • команда
  • имя пользователя
  • Отметка
  • IP-адрес сервера
  • Источник IP

Возможно ли настроить auditd для записи / пересылки только одного журнала для каждой выполненной команды? Например, если пользователь foobar запускает rm -f /root/test.txt , записанный / пересылаемый журнал должен выглядеть примерно так:

 2017-05-10 10:14 <SourceIP> foobar@<DestinationIP> rm -f /root/test.txt 

Спасибо, Франческо

Linux и Unix - лучшая ОС в мире.