我將auditd 配置為透過rsyslog 將日誌傳送到SIEM。但是當我得到這些日誌時,proctitle 是十六進制的。
前任。
<134>Aug 25 17:08:44 vmauditd tag_audit_log: node=vmauditd type=PROCTITLE msg=audit(1692983317.146:7444): proctitle=6E63002D6C766E700032323232
我希望它是這樣的:
<134>Aug 25 17:08:44 vmauditd tag_audit_log: node=vmauditd type=PROCTITLE msg=audit(1692983317.146:7444): proctitle=nc -lvnp 2222
如何配置審核才能實現這一點?
我在這裡讀到: https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/security_guide/sec-understanding_audit_log_files那 ...”此欄位以十六進位表示法編碼,不允許使用者影響審核日誌解析器。」
我在某些地方看到有人將 proctitle 放入 ascii 中,但我不能 100% 確定它是否是ausearch -i.