Журналы аудита pam_tty дают слишком много ненужной информации
Мы используем pam_tty для записи всех команд, вводимых пользователем. Мы заинтересованы в мониторинге пользовательских команд.
в audit.log, когда мы ищем USER_TTY, идет слишком много журналов.
Вот приложенный скриншот журнала: -
в data= раздел, в идеале должны быть имена команд, но большинство журналов заполнено некоторым числом, например 6364202F....
В aureport --tty похоже, дает правильные результаты с командами, но поскольку мы отправляем audit.log файл на централизованный сервер журналов, становится трудным искать только команды, введенные конкретным пользователем.
Я бы побежал ausearch -i а затем отправьте результат обратно на ваш централизованный сервер журналов. Он не только декодирует строки HEX (там, потому что есть пробелы в команде, введенной пользователем), но также интерпретирует auid (и другие) в соответствующий LNAME это принадлежит.
Вы можете использовать возможность контрольной точки ausearch для отправки в ваш магазин только «новых» событий.