Приветствую!
Создал траппер
Посылаю в него по одному сообытию ausearch
В данных например:
Создаю тригер с именем "Начало работы пользователя"
В выражении ищу вхождение USER_START
Все работает, но
хочется к имени тригера добавить имя пользователя из поля acct=root
Как можно это сделать?
В предобработке я могу вытащить это поле в ITEM.LASTVALUE , но не хочется терять остальную информацию
Создал траппер
Посылаю в него по одному сообытию ausearch
В данных например:
Code:
---- type=USER_START msg=audit(08.08.2025 15:48:12.887:1724) : pid=32944 uid=user auid=user ses=7 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=PAM:session_open grantors=pam_keyinit,pam_limits,pam_systemd,pam_unix,pam_umask,pam_xauth acct=root exe=/usr/bin/su hostname=test.ex.ru addr=? terminal=/dev/pts/0 res=success'
В выражении ищу вхождение USER_START
Все работает, но
хочется к имени тригера добавить имя пользователя из поля acct=root
Как можно это сделать?
В предобработке я могу вытащить это поле в ITEM.LASTVALUE , но не хочется терять остальную информацию
Comment