در auditd قسمتی از دستور اجرا شده را فقط نشان می دهد

[پیام]

سلام و خسته نباشید به دوستان عزیز

یه مشکلی پیش اومده که واقعا نمی دونم چیکارش باید کرد
auditd  یک لاگ مونیتورینگه که برای ارسال به SIEM  استفاده می شه و میشه رولهایی رو توش ست کرد که ارسال لاگ را اختصاصی تر کنی

مشکل اینجاست که وقتی میخوای یک کامندی رو اجرا کنی  مثل این
 

کد: [انتخاب]

cat /etc/shadow > /tmp/text.txtقسمت بعد از ریدایرکشن رو نشون نمیده یعنی
 

کد: [انتخاب]

> /tmp/text.txtنشون نمیده
میشه پروفایل رو تغییر داد و کاری کرد که نشون بده  مثل این راه حل

کد: [انتخاب]

Edit /etc/profile and add the following lines to the bottom of the file:

# command line audit logging
function log2syslog
{
   declare COMMAND
   COMMAND=$(fc -ln -0)
   logger -p local1.notice -t bash -i -- "${USER}:${COMMAND}"
}
trap log2syslog DEBUG


Save and exit /etc/profile
Edit /etc/rsyslog.conf and add the following lines to the bottom of the file:

# command line audit logging
local1.* -/var/log/auditlogging


Save and exit /etc/rsyslog.conf


#systemctl restart rsyslog

/var/log/auditlogging
میشه اون کامند رو دید یعنی کاملش میکنه
مشکل اینه که وقتی شل رو عوض میکنی مثلا میزاری zsh  یا  csh  دیگه چیزی نشون نمیده

[Dragon-]

فکر کنم مشکل از دستور fc باشه. مطمئن نیستم.

این چیزی که الان میگم، فکر نکنم بتونه مشکل رو حل کنه.
می‌تونید تگی که توی گزارش‌ها نمایش داده میشه رو نسبت به پوسته‌ای (shell) که استفاده شده تنظیم کنید. اینجوری:

کد: [انتخاب]

logger -p local1.notice  -t "${SHELL}" -i -- "${USER}:${COMMAND}"
اگه می‌خواهید فقط اسم پوسته نمایش داده بشه، می‌تونید مقدار SHELL رو بدید به basename. اینجوری:

کد: [انتخاب]

logger -p local1.notice  -t "$(basename "${SHELL}")" -i -- "${USER}:${COMMAND}"
به غیر از چیز‌های بالا فکر کنم خیلی راحت بشه این چیزی که پیاده کردید رو دور زد. مثلا برای bash اینجوری:

کد: [انتخاب]

env bash --norc --noprofile

[پیام]

امکان دور خوردنش خیلی زیاده و طبق موردی که شما عنوان کردید هم قابل دور زدنش وجود داره

آیا کسی نرم افزار جایگزین داره ؟