Estou acompanhando auditd.log
e canalizando em ausearch
e, em seguida, aureport
, com o objetivo de obter um fluxo simples de arquivos modificados:
tail -f /var/log/audit/audit.log | ausearch -k my_key | aureport -f --success -i
Enquanto aureport
parece fazer o trabalho de correlacionar e combinar vários registros, parece não mesclar os 2 PATH
linhas que os logs auditd para cada arquivo - por exemplo, se alguém executa comandos que especificam caminhos relativos (em vez de absolutos), aureport
está mostrando algo como:
File Report
===============================================
# date time file syscall success exe auid event
===============================================
1. 13/01/18 21:45:44 myfile open yes /usr/bin/touch user 6229
2. 13/01/18 21:45:46 myfile open yes /usr/bin/touch user 6230
Existe alguma maneira de mostrar aureport
o caminho completo?
Tags audit filenames linux-audit