GNU/Linux >> Linux の 問題 >  >> Linux

エンコードされたデータのように見える auditd execve 引数

パーティーには少し遅れましたが、それでもあなたや他の人が検索するのに役立つ場合があります...

Linux の監査ログは、生のログ ファイルを直接参照するためのものではなく、"ausearch" や "aureport" などのツールを使用して表示および分析するためのものです。多くのもの (時刻/日付スタンプを含む) は 16 進形式で保存されますが、「-i」オプションを使用して、16 進形式のものを解釈し、UID/GID を名前に変換するように ausearch に指示できます。デフォルトでは、ausearch はファイル「/var/log/audit/audit.log」を使用しますが、「-if filename」オプションを使用して特定のファイルを表示することもできます。例として、特定の行を一時ファイルにカット アンド ペーストしたところ、次の結果が得られました:

$ ausearch -if temp_audit.log -i
----
type=EXECVE msg=audit(03/03/2015 18:56:05.480:57967) : argc=3 a0=bash a1=-c a2=ls /etc/init.d | grep -E '[0-9a-z]{10}' | awk '{print $1}' | xargs killall
----
type=EXECVE msg=audit(03/04/2015 18:06:02.928:72792) : argc=3 a0=bash a1=-c a2=killall 777 httpd
----
type=EXECVE msg=audit(03/04/2015 18:06:06.832:72800) : argc=3 a0=bash a1=-c a2=rm -f /tmp/httpd*
----
type=EXECVE msg=audit(03/04/2015 18:06:06.832:72801) : argc=3 a0=rm a1=-f a2=/tmp/httpd*

auditd で 長い引数を HEX でエンコードし、さまざまな方法でデコードできます。そのうちの 1 つは xxd を使用する方法です。 .

echo 6C73202F6574632F696E69742E64207C2067726570202D4520275B302D39612D7A5D7B31307D27207C2061776B20277B7072696E742024317D27207C207861726773206B696C6C616C6C | xxd -r -p                
ls /etc/init.d | grep -E '[0-9a-z]{10}' | awk '{print $1}' | xargs killall

Linux
  1. MacOSのように見えるトップ5のベストLinuxディストリビューション

  2. リレーショナルデータベースとは何ですか?

  3. Linux OS サービス「auditd」

  1. Bash スクリプトへのすべてのコマンドライン引数を 1 つの変数に格納したい

  2. bash スクリプトに少なくとも 2 つの引数が指定されていることを確認します

  3. 非ネイティブのエンディアンを処理する hexdump のようなユーティリティはありますか?

  1. emacs キーボード ショートカットを有効にする Firefox アドオンはありますか?

  2. bashで(コマンド引数のように)引用符で文字列を分割する方法は?

  3. 通常のデータ CD のように CD Audio を dd できないのはなぜですか?