Find centralized, trusted content and collaborate around the technologies you use most.
Teams
Q&A for work
Connect and share knowledge within a single location that is structured and easy to search.
我编写了一个解析器来通过调度程序插件解析审计事件。对于 CentOS 8 或 RHEL 8,我的解析器无法解析审计事件,因为这些事件以不同的格式出现。它在事件的末尾附加了一些额外的参数。
发现了问题,问题出在 audit.conf 条目上,对于 centos8 或 rhel8,引入了一个新配置 log_format = ENRICHED。将 ENRICHED 设置为 RAW 将像以前一样提供事件,或者如果需要使用 ENRICHED 则更新解析器。 audit.conf 的手册页说 -
ENRICHED 选项将在将事件写入磁盘之前解析所有 uid、gid、syscall、体系结构和套接字地址信息。这有助于理解在一个系统上创建但在另一个系统上报告/分析的事件。