Ich habe auditd so konfiguriert, dass die Protokolle über rsyslog an SIEM gesendet werden. Aber wenn ich diese Protokolle bekomme, ist der Protokolltitel hexadezimal.
Ex.:
<134>Aug 25 17:08:44 vmauditd tag_audit_log: node=vmauditd type=PROCTITLE msg=audit(1692983317.146:7444): proctitle=6E63002D6C766E700032323232
Ich hätte es gerne so:
<134>Aug 25 17:08:44 vmauditd tag_audit_log: node=vmauditd type=PROCTITLE msg=audit(1692983317.146:7444): proctitle=nc -lvnp 2222
Wie konfiguriere ich Audit, damit dies möglich ist?
Ich habe hier gelesen: https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/security_guide/sec-understanding_audit_log_filesDas ..."Das Feld ist in hexadezimaler Notation codiert, um dem Benutzer nicht zu ermöglichen, den Audit-Protokollparser zu beeinflussen."
Ich habe an einigen Stellen gesehen, dass einige Leute den Protokolltitel in ASCII eingegeben haben, aber ich bin nicht 100 % sicher, ob es eine Ausgabe von war ausearch -i.