Configuré auditd para enviar los registros a SIEM a través de rsyslog. Pero cuando obtengo esos registros, el proctitle está en hexadecimal.
Ex.:
<134>Aug 25 17:08:44 vmauditd tag_audit_log: node=vmauditd type=PROCTITLE msg=audit(1692983317.146:7444): proctitle=6E63002D6C766E700032323232
Me gustaría que viniera así:
<134>Aug 25 17:08:44 vmauditd tag_audit_log: node=vmauditd type=PROCTITLE msg=audit(1692983317.146:7444): proctitle=nc -lvnp 2222
¿Cómo configuro la auditoría para que esto sea posible?
Leí aquí: https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/security_guide/sec-understanding_audit_log_fileseso ..."El campo está codificado en notación hexadecimal para no permitir que el usuario influya en el analizador del registro de auditoría."
He visto en algunos lugares a algunas personas poniendo el proctitle en ascii, pero no estoy 100% seguro de si fue una salida de ausearch -i.