Как настроить SElinux дату и время в человекочитаемом формате в auditd — Information Security Squad

Как настроить SElinux дату и время в человекочитаемом формате в auditd

Например мы имеем запись типа:

 type=DAEMON_START msg=audit(1523273521.539:4952): auditd start, ver=2.4.5 format=raw kernel=4.10.0-35-generic auid=4294967295 pid=5159 subj=unconfined res=success 

При этом msg=audit(1523273450.096:43): показывает временную метку события

Попробуйте:

 # % date +%s; date
1331917801
Fri Mar 16 18:10:01 CET 2012 

Чтобы преобразовать число в нечто более читаемое, попробуйте

 # % date -d @1523273450

Fri Mar 16 12:34:17 CET 2012 

Так же, можно использовать ausearch:

 # # grep -i avc /var/log/audit/audit.log | ausearch -i 

код Perl:

 # tail -f /var/log/audit/audit.log | perl -pe 's/(\d+)/localtime($1)/e' 

Еще можно использовать скрипт, чтобы перевести формат времени и даты:

 # egrep '^type=(AVC|SELINUX)' /var/log/audit/audit.log |
while read line; do
time=`echo $line | sed 's/.*audit(\([0-9]*\).*/\1/'`;
echo `date -d @$time` $line;
done

 

cryptoparty

Cryptography is typically bypassed, not penetrated.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

5e7fa976b0640d40