auditd.log
キーaudit_cmd
と長い16進文字列を含む行があります。
type=USER_CMD msg=audit(<TIMESTAMP>): pid=<PID> uid=<UID> auid=<AUID> ses=72940 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
msg='cwd="/home/<account>" cmd=2F62696E2F7368202D63206563686F204<HEX> terminal=pts/2 res=success'
どうやって分析できますか?
注:ログは元々作成されたコンピュータに常に存在していない可能性があります(場合によっては、Elasticsearchサーバーに渡されたログを見ることもできます)。
答え1
auditd.log
SplunkUniversalForwarderで収集し、Splunkで調査するときも同じ問題に直面しました。
ように @トム・クリノ以下ですでに述べて議論した。auditd execveパラメーターは、エンコードされたデータのように見えます。、コマンド文字列は、16進数でエンコードされたASCIIとして表示されます。
したがって、次のようにデコードできます。
echo "<HEX encoded ASCII string>" | xxd -r -p
後でリモートログコレクタ(Splunkなど)がインストールされているxxd
場合vim
。
私にとってより良いアプローチは、ログを前処理してausearch -if audit.log -i
使用するようです。スプランクアプリrlog.sh
。