RHEL 8/ CENTOS 8中Auditd dispatcher事件解析失败

Question

我已经编写了一个解析器来通过dispatcher插件解析审计事件。对于CentOS 8或RHEL 8，我的解析器无法解析审计事件，因为事件以不同的格式出现。它在事件的末尾附加了一些额外的参数。

Answer 1

发现问题时，问题出在audit.conf条目上，对于centos8或rhel8，有一个新的配置引入了log_format = ENRICHED。Make ENRICHED to RAW将像以前一样给出事件，或者如果使用ENRICHED需要更新解析器。

audit.conf的手册页上写着-

在将事件写入磁盘之前，

选项将解析所有uid、gid、syscall、体系结构和套接字地址信息。这有助于理解在一个系统上创建的事件，但在另一个系统上报告/分析的事件。