Форум русскоязычного сообщества Ubuntu


Следите за новостями русскоязычного сообщества Ubuntu в Twitter-ленте @ubuntu_ru_loco

Автор Тема: Расшифровать HEX IP SADDR из логов audit`a  (Прочитано 539 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн barmaley99

  • Автор темы
  • Участник
  • *
  • Сообщений: 118
    • Просмотр профиля

Всем доброго дня, возникло желание почитать логи TCP коннектов для этого воспользовался советом из

https://serverfault.com/questions/352259/finding-short-lived-tcp-connections-owner-process/352275#352275

Выполнил

auditctl -a exit,always -F arch=b64 -S connect -k MYCONNECT

изучаю лог /var/log/audit/audit.log

вижу строчки типа:

type=PATH msg=audit(1623640833.336:2292562): item=0 name=«/var/run/nscd/socket» nametype=UNKNOWN cap_fp=0 cap_fi=0 cap_fe=0 cap_fver=0 cap_frootid=0
type=PROCTITLE msg=audit(1623640833.336:2292562): proctitle=«(genrules)»
type=SYSCALL msg=audit(1623640833.336:2292563): arch=c000003e syscall=42 success=yes exit=0 a0=5 a1=7f8c2eba82a0 a2=6e a3=8 items=1 ppid=5092 pid=5094 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=4294967295 comm=«audispd» exe=«/sbin/audispd» key=«MYCONNECT»
type=SOCKADDR msg=audit(1623640833.336:2292563): saddr=01002F6465762F6C6F6700000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000
type=CWD msg=audit(1623640833.336:2292563): cwd=«/»

где saddr я так понимаю это IP адрес но как его привести в нормальный вид?

Пробовал советы отсюда: https://unix.stackexchange.com/questions/102926/how-to-interpret-the-saddr-field-of-an-audit-log скрипт parse-audit-log.pl отсюда https://twiki.cern.ch/twiki/bin/view/LinuxSupport/IDSNetConnectionLogger ничего не помогает

 

Страница сгенерирована за 0.039 секунд. Запросов: 22.