Я настроил auditd на отправку логов в SIEM через rsyslog. Но когда я получаю эти логи, proctitle в шестнадцатеричном формате.
Бывший.:
<134>Aug 25 17:08:44 vmauditd tag_audit_log: node=vmauditd type=PROCTITLE msg=audit(1692983317.146:7444): proctitle=6E63002D6C766E700032323232
Я бы хотел, чтобы это было так:
<134>Aug 25 17:08:44 vmauditd tag_audit_log: node=vmauditd type=PROCTITLE msg=audit(1692983317.146:7444): proctitle=nc -lvnp 2222
Как настроить аудит, чтобы это стало возможным?
Я прочитал здесь: https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/security_guide/sec-understanding_audit_log_filesчто ..."Поле закодировано в шестнадцатеричном формате, чтобы пользователь не мог повлиять на анализатор журнала аудита."
Я видел, как в некоторых местах некоторые люди помещали proctitle в ascii, но я не уверен на 100%, был ли это вывод ausearch -i
.