Кажется, что для любого заданного «события», которое регистрирует auditd, в журнал auditd добавляется порядка четырех строк журнала.
Есть ли какой-либо предсказуемый шаблон, который можно использовать для группировки строк файла журнала в одно событие? В частности, я ищу что-то, что обозначает начало и конец события.
Например, кажется, что «type = SYSCALL» обозначает начало события. Но документы auditd, которые я нашел, показывают, что существует тонна - тонна, я говорю вам - различных типов записей, и для меня это означает, что "SYSCALL" не всегда может быть индикатором события.
Более конкретно, я спрашиваю об этом, потому что я использую Sumologic для анализа своих журналов, и у них есть основанный на регулярных выражениях способ группировки многострочных данных журнала в одно событие. Я тоже задам им этот вопрос, но поскольку это больше вопрос об auditd, чем о Sumologic, я подумал, что было бы полезно задать этот вопрос сообществу.
Я бы порекомендовал вам использовать утилиту ausearch для предварительной обработки журналов перед отправкой их в средство анализа. Во-первых, он вставляет разделитель событий (четыре) и может дополнительно интерпретировать данные, чтобы сделать их более читаемыми (снова преобразовать шестнадцатеричные строки в текст, интерпретировать uid в имена пользователей, и вы можете использовать его возможность контрольной точки только для получения новых событий на последовательные вызовы (см. справочную страницу). Вы также можете использовать его для выбора интересующих событий.
Я хотел бы отметить, что события auditd в Linux довольно сложны, и следует с осторожностью выбирать, что вам нужно для анализа. В идеале вы должны хранить исходные журналы (после ausearch -i) в хранилище данных, которое также может нормализовать их в события для передачи возможности анализа или нескольких возможностей анализа (в случае, если один продукт не отвечает на все ваши вопросы).