看起来对于任何给定的“事件”,审计日志中都有四条日志行添加到审计日志中。
是否有任何可预测的模式可用于将日志文件行分组为单个事件? 具体来说,我正在寻找一些事件的开始和结束。
例如,看起来“type = SYSCALL”表示事件的开始。 但是我发现的审计文档显示,不同的loggingtypes有很多,我告诉你,对我来说,“SYSCALL”可能并不总是事件的指示器。
更具体地说,我问这是因为我使用Sumologic分析我的日志,他们有一个基于正则expression式的方式将多行日志数据分组到单个事件中。 我也会问他们这个问题,但是因为这更多的是关于审计的问题,而不是关于Sumologic的问题,所以我认为向这个社区求助是有用的。
我build议您使用ausearch实用程序在将日志发送到分析function之前对其进行预处理。 首先,它插入一个事件分隔符(四),它可以select性地解释数据,使其更具可读性(再次将hexstring转换为文本,将用户名解释为用户名,并且可以使用其检查点function仅获取新事件连续调用(请参见手册页),也可以使用它来select感兴趣的事件。
我想指出,Linux审计事件是相当复杂的,在决定你需要什么分析时应该小心。 理想情况下,您应该将原始日志(在ausearch -i之后)存储在数据存储中,也可以将它们归一化为事件以传递到分析function或多个分析function(如果一个产品没有回答所有问题)。