私はリアルタイムでログを見るためにdmesgを使って端末を開くのが好きです。しかし、監査ログはかなり長いので、メッセージがカーネルバッファに送信される前にメッセージをフィルタリングする方法があるかどうか疑問に思います(sed / awkを使用しますか?)。
例えば、
audit: type=1105 audit(166671842.234:346): pid=8324 uid=1000 auid=1000 ses=1 msg'op=PAM:session_open grantors=pam_systemd_home,pam_limits,pam_unix,pam_permit acct="root" exe="/usr/bin/sudo" hostname => addr=? terminal=/dev/pts/2 res=success
これはsudoを実行するときに非常に一般的ですが、次のように変更したいと思います。
audit: pid=8324 exe="/usr/bin/sudo" terminal=/dev/pts/2 res=success
オンラインで探してみると、メッセージを完全に抑制する方法しかありませんでした。
監査ソースコードを変更して再コンパイルする以外に、これらのメッセージをフィルタリングする方法はありますか?または、カスタム形式のログを表示できる他のユーティリティを提案できますか?
答え1
これがあなたの質問に対する完全な答えであるかどうかはわかりませんが、正しい方向に導くことができます。 (
ausearch
ログクエリツールaudit daemon
)には--format
オプションのパラメータがあります。残念ながら、カスタム型を定義する方法はありませんが、利用可能な形式の1つを使用すると、出力をパイプして目的のawk
方法で再フォーマットできます。私自身もこの--format text
選択が好きです。