O aureport pode mostrar o caminho completo para os arquivos?

2

Estou acompanhando auditd.log e canalizando em ausearch e, em seguida, aureport , com o objetivo de obter um fluxo simples de arquivos modificados:

tail -f /var/log/audit/audit.log | ausearch -k my_key | aureport -f --success -i

Enquanto aureport parece fazer o trabalho de correlacionar e combinar vários registros, parece não mesclar os 2 PATH linhas que os logs auditd para cada arquivo - por exemplo, se alguém executa comandos que especificam caminhos relativos (em vez de absolutos), aureport está mostrando algo como:

File Report
===============================================
# date time file syscall success exe auid event
===============================================
1. 13/01/18 21:45:44 myfile open yes /usr/bin/touch user 6229
2. 13/01/18 21:45:46 myfile open yes /usr/bin/touch user 6230

Existe alguma maneira de mostrar aureport o caminho completo?

    
por Cocowalla 13.01.2018 / 22:53

0 respostas