Например мы имеем запись типа:
type=DAEMON_START msg=audit(1523273521.539:4952): auditd start, ver=2.4.5 format=raw kernel=4.10.0-35-generic auid=4294967295 pid=5159 subj=unconfined res=success
При этом msg=audit(1523273450.096:43): показывает временную метку события
Попробуйте:
# % date +%s; date 1331917801 Fri Mar 16 18:10:01 CET 2012
Чтобы преобразовать число в нечто более читаемое, попробуйте
# % date -d @1523273450 Fri Mar 16 12:34:17 CET 2012
Так же, можно использовать ausearch:
# # grep -i avc /var/log/audit/audit.log | ausearch -i
код Perl:
# tail -f /var/log/audit/audit.log | perl -pe 's/(\d+)/localtime($1)/e'
Еще можно использовать скрипт, чтобы перевести формат времени и даты:
# egrep '^type=(AVC|SELINUX)' /var/log/audit/audit.log | while read line; do time=`echo $line | sed 's/.*audit(\([0-9]*\).*/\1/'`; echo `date -d @$time` $line; done
