Estou acompanhando auditd.log e canalizando em ausearch e, em seguida, aureport , com o objetivo de obter um fluxo simples de arquivos modificados:
tail -f /var/log/audit/audit.log | ausearch -k my_key | aureport -f --success -i
Enquanto aureport parece fazer o trabalho de correlacionar e combinar vários registros, parece não mesclar os 2 PATH linhas que os logs auditd para cada arquivo - por exemplo, se alguém executa comandos que especificam caminhos relativos (em vez de absolutos), aureport está mostrando algo como:
File Report
===============================================
# date time file syscall success exe auid event
===============================================
1. 13/01/18 21:45:44 myfile open yes /usr/bin/touch user 6229
2. 13/01/18 21:45:46 myfile open yes /usr/bin/touch user 6230
Existe alguma maneira de mostrar aureport o caminho completo?
Tags audit filenames linux-audit