linux审计日志时间格式,linux 审计工具auditd日志audit.log时间戳转换查看

最新推荐文章于 2023-01-17 16:54:40 发布
最新推荐文章于 2023-01-17 16:54:40 发布
阅读量1.9k 收藏 1
点赞数
文章标签: linux审计日志时间格式

最近由于机房安全规范的要求,需要第三方软件进行系统安全审计,linux操作系统默认有登陆、定时任务等审计,要查看其日志的时候发现时间格式为unix时间戳格式,阅读起来很不方便,便想将其中的时间戳转换成为普通时间进行查看

网上普遍的做法为使用perl脚本在阅读时进行转换

cat time.pl

s/(1\d{9})/localtime($1)/e

然后使用管道命令进行转换

less,more,tail -f

less /var/log/audit/audit.log | perl -p time.pl

more /var/log/audit/audit.log | perl -p time.pl

tail -f /var/log/audit/audit.log | perl -p time.pl

使用这些命令来查看起来不太方便,不像vim查看的全面

于是就写了一个脚本将audit.log中的时间戳转换成普通时间写到新的文件中,以下为脚本代码

#!/bin/bash

FILE=/var/log/audit/audit.log

cat $FILE |while read LINE

do

Udate=`echo $LINE|awk -F'[(.]+' '{print $2}'`

#Udate=`echo $LINE|awk -F. '{print $1}' | awk -F'(' '{print $2}'`

Cdate=`date -d @$Udate`

echo $LINE|sed "s/[0-9]\{10\}/$Cdate/" >> read.audit.log

done

不过代码的执行效率有点低,在1核1G的虚拟机跑2W条记录大约需要2MIN

weixin_35977784
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux 6转换系统审计日志文件
weeknd的博客
05-10 2413
查看/var/log/audit.log日志文件的时候,没法识别时间,需要进行时间转换 1:原来的日志文件格式 type=LOGIN msg=audit(1493503801.016:68448): pid=20835 uid=0 old auid=4294967295 new auid=0 old ses=4294967295 new ses=11216 type=USER_START
audit审计日志分析
龙在江湖
08-29 3065
记录部分 名称 描述 类型= AVC 日志类型 仅在audit.log文件中;它通知用户这是什么类型的审计日志类型。所以在我们的例子中,它是一个AVC日志条目 味精=审计(1363289005.532:184) 时间戳 自纪元以来以秒为单位的时间戳,表示自1970年1月1日以来的秒数。您可以使用日期-d @后跟数字将其转换为更易于阅读的格式,如下所示:...
linux审计功能
lishenglong666的专栏
12-16 3698
linux审计功能(audit) 2010-09-30 16:40:34|  分类: 工作|字号 订阅 2.6 Linux内核有用日志记录事件的能力,比如记录系统调用和文件访问。然后,管理员可以评审这些日志,确定可能存在的安全裂口,比如失败的登录尝试,或者用户对系统文件不成功的访问。这种功能称为Linux审计系统,在Red Hat Enterprise
Linux系统审计详解
m0_74282605的博客
01-17 1101
ausearch -sv #按syscall的返回值查找(yes/no)ausearch -tm #按连接终端查找(term/ssh/tty)ausearch -w #按在audit rule设定的字符串查找。ausearch -ua #按uid和euid查找。ausearch -ga #按gid和egid查找。ausearch -k #按特定的key值查找。ausearch -ue #按euid查找。ausearch -ge #按egid查找。ausearch -ui #按uid查找。
Linux时间戳和标准时间的互转
lin小将的博客
03-23 3249
Linux时间戳和标准时间的互转 在LINUX系统中,有许多场合都使用时间戳的方式表示时间,即从1970年1月1日起至当前的天数或秒数。如/etc/shadow里的密码更改日期和失效日期,还有代理服务器的访问日志对访问时间的记录等等。 1、分别以标准格式和时间戳来显示当前时间 [root@localhost ~]# date Tue Mar 23 14:19:56 CST 2021 [root@localhost ~]# date +%s 1616480432 2、显示指定时间时间戳 [root@lo
linux日志auditd,linux 审计工具auditd日志audit.log时间戳转换查看
weixin_31235909的博客
05-01 1070
最近由于机房安全规范的要求,需要第三方软件进行系统安全审计linux操作系统默认有登陆、定时任务等审计,要查看日志的时候发现时间格式为unix时间戳格式,阅读起来很不方便,便想将其中的时间戳转换成为普通时间进行查看网上普遍的做法为使用perl脚本在阅读时进行转换cat time.pls/(1\d{9})/localtime($1)/e然后使用管道命令进行转换less,more,tail -fl...
Linux安全审计功能的实现--audit详解
我在CSND的日子
09-29 5839
实现监管企业员工的操作行为就需要开启审计功能,也就是audit,通过日志查看用户的操作行为 1、安装和开启auditd服务: 安装:yum install audit 安装后默认启动 查看运行状态: service auditd status 2、查看auditd的服务状态的另一种方式: auditctl -s e...
11g AUDIT的TIMESTAMP时间戳
ckawt40802的专栏
04-14 401
在11g中AUDIT记录中的TIMESTAMP时间戳使用的是0时区的时间。 利用YANGTK用户登陆,引发AUDIT记录: SQL> CONN YANGTK输入口令: 已连接。SQL> SELEC...
查看日志命令,把时间戳直接转换
技术转管理历程
03-15 2191
许多日志时间都是时间戳,需要自己转换。我用awk直接转换。 希望帮助到大家。 sed -n '/starting/p'  nagios.log | awk -F'['  '{print $2}' | awk -F']' '{print $1$2}'| awk -F' '  '{print strftime("%Y-%m-%d %H:%M:%S",$1) $0}' 
如何审计系统时间更改?
QTM_Gitee的博客
07-12 444
auditd服务可用于记录触发系统时间更改的所有事件。首先检查auditd服务是否正在运行 接下来,添加一个新规则来观察系统时间变化(系统调用adjtimex、clock_settime、settimeofday和clock_adjtime) 在此示例中,为此审计规则定义了一个名为“ADJTIME”的过滤器关键字。要测试审计规则,请更改系统时间,然后在审计日志中搜索定义的关键字 示例输出如下: 备选的 systemtap 脚本 或者,可以使用 脚本,但在这里使用 不太方便,因为它需要安装 deb
不同数据库之间时间格式转换及系统时间
02-19
不同数据库之间的时间格式,及字符串转时间,以及系统时间
Linux audit 日志审计服务安装及使用
01-12
Linux audit 日志审计服务安装及使用 Linux audit 是一种强大的日志审计服务,可以将审计记录写入日志文件,包括记录系统调用和文件访问。管理员可以检查这些日志,确定是否存在安全漏洞。本文将详细介绍 Linux ...
Linux操作系统之安全审计功能-Audit
最新发布
10-10
Auditd会生成两种类型的日志:实时流日志(通过`journalctl -u auditd`查看)和二进制日志文件(默认位于/var/log/audit/audit.log)。这些日志可以使用`ausearch`、`aureport`等工具进行分析。 为了更好地利用...
03: 系统审计 服务安全 Linux安全之打补丁.docx
07-15
安装后,审计日志默认存储在`/var/log/audit/audit.log`。要启动和设置auditd服务在系统启动时自动运行,可以使用`systemctl start auditd`和`systemctl enable auditd`命令。 为了配置审计规则,我们使用`auditctl...
audit-userspace:Linux审计用户空间存储库
02-05
5. **auditd.conf**:配置文件,定义了审计d的行为,包括日志文件的位置、日志轮换策略、网络转发设置以及审计规则。 标签中提到的"security"和"logging"强调了该存储库在系统安全和日志管理中的核心作用。...
Linux系统审计机制的研究及安全配置.pdf
09-07
5. **实时监控**:利用工具如aureport,可以实时查看和分析审计日志,快速响应安全事件。 6. **安全策略更新**:定期更新审计策略以应对新的安全威胁和漏洞。 7. **加密日志**:为了保护敏感信息,可以考虑对日志...
Linux-安全审计-auditd.log解读
qq_38135115的博客
02-24 1778
succeed=yes/no,说明此次syscall成功或失败 exit=-13说明syscall的返回值是-13 a0,a1,a2,a3指明了前4个参数,也是编码成16进制,通过ausearch命令可以解码查看 items指出event中的path记录的数量 ppid指明Parent Process ID,即父进程ID pid指明了进程ID auid指出audit user ID,即当时的登陆uid uid指出了对应进程的所有者ID gid对应进程的group ID euid对应进程的effective.
53命令使用_SELinux auditd日志使用方法详解
weixin_30458701的博客
01-05 428
auditd 会把 SELinux 的信息都记录在 /var/log/auditd/auditd.log 中。这个文件中记录的信息会非常多,如果手工查看,则效率将非常低下。比如笔者的 Linux 中这个日志的大小就有 386KB。[root@localhost ~]# ll -h /var/log/audit/audit.log-rw-------.1 root root 386K 6月...
Linuxaudit日志的使用方法
热门推荐
Han的小站
02-27 5万+
auditd服务的安装: 以CentOS6.5为例,使用下面的方法确认auditd服务的安装情况: yumlist audit audit-libs 确认以下两个package是否安装: audit.x86_64
linux日志审计配置
05-26
Linux系统中进行日志审计可以帮助管理员更好地了解系统的运行状况和发现潜在的安全问题。下面是一个简单的步骤,用于配置Linux系统的日志审计。 1. 安装 audit 工具 在大多数 Linux 发行版中,audit 工具已经预安装。如果没有,可以使用以下命令安装: ``` sudo apt-get install auditd # Debian/Ubuntu sudo yum install audit # CentOS/RHEL ``` 2. 配置审计规则 审计规则用于确定哪些事件需要被记录下来。可以编辑 /etc/audit/rules.d/audit.rules 文件来定义审计规则。这个文件可能已经存在了,如果不存在,可以手动创建。 以下是一个例子: ``` # This file contains the auditctl rules that are loaded # whenever the audit daemon is started via the init scripts. # The rules are simply the parameters that would be passed # to auditctl. # First rule - delete all -D # Increase the buffers to survive stress events. # Make this bigger for busy systems -b 8192 # Feel free to add below this line. See auditctl man page # for more information ``` 3. 启动 auditd 服务 配置完成后,启动 auditd 服务: ``` sudo systemctl start auditd ``` 4. 查看审计日志 审计日志存储在 /var/log/audit/audit.log 文件中。可以使用以下命令来查看日志: ``` sudo ausearch -i -ts today ``` 这将显示今天发生的所有审计事件。可以使用其他选项来指定时间范围、事件类型等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值