ログを rsyslog 経由で SIEM に送信するように、auditd を設定しました。しかし、それらのログを取得すると、proctitle は 16 進数になります。
元。:
<134>Aug 25 17:08:44 vmauditd tag_audit_log: node=vmauditd type=PROCTITLE msg=audit(1692983317.146:7444): proctitle=6E63002D6C766E700032323232
こんな感じにしたいです:
<134>Aug 25 17:08:44 vmauditd tag_audit_log: node=vmauditd type=PROCTITLE msg=audit(1692983317.146:7444): proctitle=nc -lvnp 2222
これを可能にするには、監査をどのように構成すればよいでしょうか?
ここで読みました: https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/security_guide/sec-understanding_audit_log_filesそれ ..."このフィールドは、ユーザーが監査ログ パーサーに影響を与えないように 16 進表記でエンコードされます。「
いくつかの場所で proctitle を ASCII で入力している人を見ましたが、それが の出力であったかどうかは 100% 確信がありませんausearch -i。