Estou auditando os arquivos em um compartilhamento nfs. Quando olho para os logs de auditoria usando o comando ausearch -f /var/nfs/general
, recebo alguns logs semelhantes a este:
No lado do servidor:
time->Tue Jun 12 16:23:34 2018
type=PROCTITLE msg=audit(1528800814.660:2782): proctitle=636174002F7661722F6E66732F67656E6572616C2F6E6673312E747874
type=PATH msg=audit(1528800814.660:2782): item=0 name="/var/nfs/general/nfs1.txt" inode=4063539 dev=08:01 mode=0100664 ouid=1001 ogid=1001 rdev=00:00 nametype=NORMAL
type=CWD msg=audit(1528800814.660:2782): cwd="/home/test"
type=SYSCALL msg=audit(1528800814.660:2782): arch=c000003e syscall=2 success=yes exit=3 a0=7ffc2c53c824 a1=0 a2=20000 a3=69d items=1 ppid=31104 pid=7295 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts18 ses=4294967295 comm="cat" exe="/bin/cat" key=(null)
No lado do cliente:
time->Tue Jun 12 10:22:01 2018
type=UNKNOWN[1327] msg=audit(1528779121.923:84671): proctitle=636174002F6D6E742F6E6673332E747874
type=PATH msg=audit(1528779121.923:84671): item=0 name="/mnt/nfs3.txt" inode=4063534 dev=00:2c mode=0100644 ouid=1001 ogid=0 rdev=00:00 nametype=NORMAL
type=CWD msg=audit(1528779121.923:84671): cwd="/home/salini"
type=SYSCALL msg=audit(1528779121.923:84671): arch=c000003e syscall=2 success=yes exit=3 a0=7ffd7eeef903 a1=0 a2=1fffffffffff0000 a3=7ffd7eeed870 items=1 ppid=5286 pid=5652 auid=1507 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts8 ses=187 comm="cat" exe="/bin/cat" key=(null)
Agora, como posso obter o endereço IP e o nome do host do cliente que acessou os arquivos de compartilhamento do nfs?
Existe alguma outra maneira de encontrar esses detalhes?
Eu quero reunir os detalhes, como hora, data, endereço IP do cliente, nome do host do cliente, evento ocorrido (como ler, escrever, renomear, alterar a propriedade do arquivo, excluir ou criar um arquivo na pasta nfs ).
Os detalhes coletados devem ser colocados em um arquivo separado, que pode ser usado para outras finalidades.
Como posso fazer isso?
Sou um novato no Linux. Por favor me ajude.
Obrigado. :)