Hello,
Lets assume that *id = uid or gid or euid or suid or fsuid or egid or sgid or fsgid.
Audispd audit-remote (au-remote.conf) plugin sends native (numeric) uid, gid, euid, suid,
fsuid, egid, sgid, fsgid.
I want to correlate logs from many Linux boxes so I need to have *ids resolved to
user/group names, similar to ausearch witch option "-interpret". Is there any
way to enrich events with user/group names in au-remote or even earlier - in auditd or
audit?
I've considered forking audit-remote to use auparse (injecting additional code
somewhere near line 412 of audisp-remote.c) or doing something like "tail ...
--follow audit.log | ausearch ... -i". Am I correct that to be 100% sure that user or
group corresponds to appropriate *id the mapping process has to be done in the kernel?
Otherwise there is low probability that during the time gap between actual event and
"ausearch -i" someone could change *id or user/group name.
Any help would be appreciated.
Best regards,
Arkadiusz Wojtczak
Mainframe Security Expert
[cid:image001.png@01CFFF57.9D84FDD0]
PKO Bank Polski
Departament Bezpieczeństwa
Biuro Bezpieczeństwa Informatycznego
02-515 Warszawa, ul. Puławska 15
t: 22 521 68 80
k: 666 824 168
Nie drukuj tej wiadomości, ani innych dokumentów, jeśli nie jest to konieczne.
Powszechna Kasa Oszczędności Bank Polski Spółka Akcyjna z siedzibą w Warszawie przy ul.
Puławskiej 15, 02-515 Warszawa, zarejestrowana w Sądzie Rejonowym dla m.st. Warszawy w
Warszawie, XIII Wydział Gospodarczy Krajowego Rejestru Sądowego pod nr KRS 0000026438;
NIP: 525-000-77-38 REGON: 016298263; kapitał zakładowy (kapitał wpłacony) 1 250 000 000
PLN / Powszechna Kasa Oszczędności Bank Polski S.A. registered in the District Court for
the Capital City of Warsaw, 13th Commercial Division of the National Court Register under
KRS number 0000026438, Tax Identification Number (NIP): 525-000-77-38, REGON: 016298263,
share capital 1,250,000,000 PLN.
Niniejsza wiadomość może zawierać poufną i prawnie zastrzeżoną korespondencję między naszą
Firmą i Klientem. Jeżeli nie jesteście Państwo jej adresatem informujemy, że otrzymali ją
Państwo omyłkowo oraz, że przeglądanie, rozpowszechnianie lub kopiowanie jest zabronione.
W przypadku omyłkowego otrzymania niniejszej wiadomości, prosimy o niezwłoczne
powiadomienie o tym nadawcy i wykasowanie oryginału. / This message may contain a
confidential and privileged our Company and Client communication. If you are not the
intended recipient, you are hereby notified that you have received this message in error -
any review, distribution or copying of this message is strictly prohibited. If you have
received this message in error, please notify the sender immediately and delete the
original.