auditdログでaudit_cmdをどのように解析しますか?

auditdログでaudit_cmdをどのように解析しますか?

auditd.logキーaudit_cmdと長い16進文字列を含む行があります。

type=USER_CMD msg=audit(<TIMESTAMP>): pid=<PID> uid=<UID> auid=<AUID> ses=72940 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 
msg='cwd="/home/<account>" cmd=2F62696E2F7368202D63206563686F204<HEX> terminal=pts/2 res=success' 

どうやって分析できますか?

注:ログは元々作成されたコンピュータに常に存在していない可能性があります(場合によっては、Elasticsearchサーバーに渡されたログを見ることもできます)。

答え1

auditd.logSplunkUniversalForwarderで収集し、Splunkで調査するときも同じ問題に直面しました。

ように @トム・クリノ以下ですでに述べて議論した。auditd execveパラメーターは、エンコードされたデータのように見えます。、コマンド文字列は、16進数でエンコードされたASCIIとして表示されます。

したがって、次のようにデコードできます。

echo "<HEX encoded ASCII string>" | xxd -r -p

後でリモートログコレクタ(Splunkなど)がインストールされているxxd場合vim

私にとってより良いアプローチは、ログを前処理してausearch -if audit.log -i使用するようです。スプランクアプリrlog.sh

関連情報