linux 6转换系统审计日志文件
来源:互联网 发布:怎么提升淘宝买家等级 编辑:程序博客网 时间:2024/06/05 02:15
在查看/var/log/audit.log日志文件的时候,没法识别时间,需要进行时间转换
1:原来的日志文件格式
type=LOGIN msg=audit(1493503801.016:68448): pid=20835 uid=0 old auid=4294967295 new auid=0 old ses=4294967295 new ses=11216
type=USER_START msg=audit(1493503801.022:68449): user pid=20835 uid=0 auid=0 ses=11216 msg='op=PAM:session_open acct="root" exe="/usr/sbin/crond" hostname=? addr=? terminal=cron res=success'
type=CRED_DISP msg=audit(1493503801.038:68450): user pid=20835 uid=0 auid=0 ses=11216 msg='op=PAM:setcred acct="root" exe="/usr/sbin/crond" hostname=? addr=? terminal=cron res=success'
type=USER_END msg=audit(1493503801.039:68451): user pid=20835 uid=0 auid=0 ses=11216 msg='op=PAM:session_close acct="root" exe="/usr/sbin/crond" hostname=? addr=? terminal=cron res=success'
2:转换之后的时间格式
read.audit.log:type=USER_START msg=audit(Sun May 7 08:20:01 CST 2017.997:1477): user pid=11451 uid=0 auid=0 ses=246 msg='op=PAM:session_open acct="root" exe="/usr/sbin/crond" hostname=? addr=? terminal=cron res=success'
read.audit.log:type=CRED_DISP msg=audit(Sun May 7 08:20:02 CST 2017.011:1478): user pid=11451 uid=0 auid=0 ses=246 msg='op=PAM:setcred acct="root" exe="/usr/sbin/crond" hostname=? addr=? terminal=cron res=success'
read.audit.log:type=USER_END msg=audit(Sun May 7 08:20:02 CST 2017.012:1479): user pid=11451 uid=0 auid=0 ses=246 msg='op=PAM:session_close acct="root" exe="/usr/sbin/crond" hostname=? addr=? terminal=cron res=success'
read.audit.log:type=USER_ACCT msg=audit(Sun May 7 08:30:01 CST 2017.016:1480): user pid=11469 uid=0 auid=4294967295 ses=4294967295 msg='op=PAM:accounting acct="root" exe="/usr/sbin/crond" hostname=? addr=? terminal=cron res=success'
read.audit.log:type=CRED_ACQ msg=audit(Sun May 7 08:30:01 CST 2017.016:1481): user pid=11469 uid=0 auid=4294967295 ses=4294967295 msg='op=PAM:setcred acct="root" exe="/usr/sbin/crond" hostname=? addr=? terminal=cron res=success'
read.audit.log:type=LOGIN msg=audit(Sun May 7 08:30:01 CST 2017.016:1482): pid=11469 uid=0 old auid=4294967295 new auid=0 old ses=4294967295 new ses=247
实现方法
1:利用perl的转换
创建perl转换格式
[oracle@dg-master u01]$ cat timetrans.pl
s/(1\d{9})/localtime($1)/e
使用命令查看
[oracle@dg-master u01]$ tail -1000 audit.log |perl -p timetrans.pl
2:使用脚本转换,将转换过的文件格式内容输出到指定的文件
[root@dg-master u01]$ more timetrans.sh
#!/bin/bash
FILE=/u01/audit.log
cat $FILE |while read LINE
do
Udate=`echo $LINE|awk -F'[(.]+' '{print $2}'`
#Udate=`echo $LINE|awk -F. '{print $1}' | awk -F'(' '{print $2}'`
Cdate=`date -d @$Udate`
echo $LINE|sed "s/[0-9]\{10\}/$Cdate/" >>transtime.log
done
Note:这里是使用了第二种方式
输出指定的时间段内容
[root@dg-master u01]$ sed -n '/Sat May 6 02:[0-9][0-9]:[0-9][0-9] CST 2017/,$p' transtime.log
- linux 6转换系统审计日志文件
- 日志审计系统解决方案
- Linux添加日志审计
- linux日志审计
- Linux审计日志
- Linux系统实战项目——sudo日志审计
- 如何选择日志审计系统
- 为什么需要日志审计系统
- Linux 系统 审计 脚本
- Unix/Linux日志与审计
- Linux安全体系学习笔记之一:Linux日志系统与审计系统
- Linux 系统审计样例
- Linux 用户空间审计系统
- linux日志服务器审计客户端history记录
- 日志审计
- 日志审计
- linux系统中日志文件管理(日志文件分包)
- LINUX系统帐户管理和审计
- 给图片添加水印图片文字
- static 、final区别
- Android中自定义Shape小结
- Fragment与Fragment、Activity通信(2)
- nginx+keeplived实现高可用站点主备模式搭建
- linux 6转换系统审计日志文件
- Springboot文件下载代码
- SVM 中 rbf kernel 的意义 —— 一个不怎么严谨的解释
- Ildasm.exe(IL 反汇编程序)
- Logger的使用
- 时间的函数Sleep,clock,GetTickCount,QueryPerformanceCounter
- MATLAB学习笔记之-----数列的循环移位操作
- React Native ES6写法整理
- prim算法