パーティーには少し遅れましたが、それでもあなたや他の人が検索するのに役立つ場合があります...
Linux の監査ログは、生のログ ファイルを直接参照するためのものではなく、"ausearch" や "aureport" などのツールを使用して表示および分析するためのものです。多くのもの (時刻/日付スタンプを含む) は 16 進形式で保存されますが、「-i」オプションを使用して、16 進形式のものを解釈し、UID/GID を名前に変換するように ausearch に指示できます。デフォルトでは、ausearch はファイル「/var/log/audit/audit.log」を使用しますが、「-if filename」オプションを使用して特定のファイルを表示することもできます。例として、特定の行を一時ファイルにカット アンド ペーストしたところ、次の結果が得られました:
$ ausearch -if temp_audit.log -i
----
type=EXECVE msg=audit(03/03/2015 18:56:05.480:57967) : argc=3 a0=bash a1=-c a2=ls /etc/init.d | grep -E '[0-9a-z]{10}' | awk '{print $1}' | xargs killall
----
type=EXECVE msg=audit(03/04/2015 18:06:02.928:72792) : argc=3 a0=bash a1=-c a2=killall 777 httpd
----
type=EXECVE msg=audit(03/04/2015 18:06:06.832:72800) : argc=3 a0=bash a1=-c a2=rm -f /tmp/httpd*
----
type=EXECVE msg=audit(03/04/2015 18:06:06.832:72801) : argc=3 a0=rm a1=-f a2=/tmp/httpd*
auditd で 長い引数を HEX でエンコードし、さまざまな方法でデコードできます。そのうちの 1 つは xxd を使用する方法です。 .
echo 6C73202F6574632F696E69742E64207C2067726570202D4520275B302D39612D7A5D7B31307D27207C2061776B20277B7072696E742024317D27207C207861726773206B696C6C616C6C | xxd -r -p
ls /etc/init.d | grep -E '[0-9a-z]{10}' | awk '{print $1}' | xargs killall